Oferta SiteGround Black Friday

Cómo cambiar y ocultar la URL de acceso a WordPress

En el manual del hacker novato uno de los primeros ejercicios debe ser, con diferencia, entrar mediante fuerza bruta en un sitio WordPress desde la pantalla de acceso, que por defecto siempre estará en https://dominio.com/wp-login.php.

Así que solo tienen que poner en marcha su monitor de URLs con wp-login.php y empezar a lanzar ataques de fuerza bruta a toda web que tenga accesible esa URL.

Es por este motivo que una de las primeras líneas de defensa de todo sitio WordPress debe ser ocultar o cambiar la URL de acceso a la administración de WordPress, o proteger el acceso mediante la doble verificación.

Hoy vamos a aprender lo primero: ocultar o cambiar la URL de acceso a la administración de WordPress.

Cambiar y ocultar la URL de acceso a WordPress con plugins

Una de las maneras más sencillas y libres de riesgo de cambiar y ocultar la url de acceso a la administración de WordPress es hacerlo con plugins.

Te evitas tener que modificar archivos del núcleo de WordPress o del servidor, y siempre puedes cambiar de plugin o de método de manera sencilla, además de que los desarrolladores se ocuparán ellos de ir actualizando su plugin a medida de las crecientes necesidades de seguridad o mejoras solicitadas por los usuarios.

Lo mejor es que hay muchos plugins para este objetivo de seguridad, muchos…

Pero vamos, que no tienen pegas siempre que funcionen bien, y los que te voy a recomendar a continuación funcionan todos a la perfección.

WPS Hide Login

Este es uno de los plugins más populares y sencillos de usar para este objetivo de cambiar/ocultar la URL de acceso a WordPress.

Nada más instalarlo y activarlo pásate por sus ajustes, que encontrarás al final de la pantalla de ajustes generales de WordPress (me encanta), elige la nueva URL y, de paso la URL a la que quieres mandar a los que traten de acceder a la pantalla de acceso por defecto.

Guarda los cambios y ya está. ¿Quién dijo que fuese difícil?

iThemes Security

Si ya utilizas el plugin de seguridad iThemes Security no necesitas instalar ningún plugin adicional, ya incorpora gratis esta herramienta de ocultar la pantalla de acceso a WordPress.

El ajuste se llama «Ocultar escritorio»

Simplemente configúralo eligiendo tu nueva URL de acceso y a la que quieres mandar a los que traten de acceder a la URL por defecto de WordPress.

Guarda los cambios y, además de tener ya oculta la URL de acceso a WordPress, todos los usuarios de la web recibirán un amable correo electrónico con la nueva URL de acceso ¿se puede hacer mejor?

SG Security

El plugin de seguridad creado por SiteGround, disponible para cualquier instalación WordPress, no solo webs alojadas en sus servidores, también incorpora, además de la doble verificación, la utilidad de cambiar la URL de acceso, incluso la de registro entre sus herramientas.

All In One WP Security & Firewall

También este popular plugin de seguridad ofrece la característica de ocultar la URL de acceso a WordPress.

Pásate por los ajustes de fuerza bruta y ahí lo encontrarás. Solo tienes que activar la herramienta, elegir la nueva URL y guardar los cambios.

Cambiar y ocultar la URL de acceso a WordPress desde .htaccess

Si eres de los que prefieres tener todos tus códigos controlados y no depender de terceros es posible que te hayas planteado si hay otras maneras de cambiar la URL de acceso a WordPress.

Y sí, efectivamente, una de ellas es cambiar la URL de acceso a la administración de WordPress en un servidor Apache usando el archivo .htaccess. ¿Vamos a ello?

Aquí tienes el código que estabas esperando:

# BEGIN Ocultar URL login WP
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^tu_url_personalizada/?$ /wp-login.php?tu_clave_secreta [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^tu_url_personalizada/?$ /wp-login.php?tu_clave_secreta&redirect_to=/wp-admin/ [R,L]
RewriteRule ^tu_url_personalizada/?$ /wp-admin/?tu_clave_secreta [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/tu_url_personalizada
RewriteCond %{QUERY_STRING} !^tu_clave_secreta
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?tu_clave_secreta [R,L]
</IfModule>
# END Ocultar URL login WP

¿Qué debes cambiar en el código anterior?

Para que el código anterior funcione correctamente debes cambiar algunos valores:

  1. tu_url_personalizada — Esta será tu nueva URL para acceder a la administración del sitio. Crea la tuya propia, por ejemplo escritorio o panel_de_control o mi_casa o algo así. Trata de que sea única porque los bots actuales aprenden bastante rápido las direcciones de acceso más utilizadas.
  2. tudominio.com — La dirección de tu web, sin https://. Cámbiala a la tuya.
  3. tu_clave_secreta — Esto debes reemplazarlo por una clave secreta que crees. Debería ser una cadena de letras y números en orden aleatorio preferentemente. Por ejemplo, 92dkew1e9383d4wjpe o algo similar. Guárdala en un lugar seguro por si la necesitas o quieres cambiarla.

Cuando guardes los cambios la página de acceso estará en tudominio.com/tu_url_personalizada, por ejemplo – ayudawp.com/mi_casa.

Lo he probado y funciona de maravilla, mostrando un error si tratas de acceder a las URLs de acceso y administración por defecto de WordPress.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en los emoticonos para valorarlo!

Promedio de puntuación 5 / 5. Total de votos: 14

Hasta ahora ¡no hay votos!. Sé el primero en valorar este contenido.

Ya que has encontrado útil este contenido...

¡Sígueme en los medios sociales!

¡Siento que este contenido no te haya sido útil!

¡Ayúdame a mejorar este contenido!

Por favor, dime, ¿cómo puedo mejorarlo?

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

Sobre el autor

15 comentarios en “Cómo cambiar y ocultar la URL de acceso a WordPress”

  1. ¿Qué pasa si tienes usuarios que se loguean? Como un sitio de membresía con MemberPress. Tiene su propio login, pero creo que por detrás acaba usando wp-login.php

      1. Gabriel Robles

        Supongo que si entro a wordpress con ea dirección y mi cuenta es admin me va a aparecer el panel de control superior de wordpress no?, me refiero a todos los plugins que no son wps hide login y por supuestisimo entra lo del codigo.

  2. Excelente, Fernando. Uso el All in One WP security y aún sabiendo de la existencia de esa opción me daba un poco de «nosequé» el usarla. Pero viendo el log de ataques brutos creo que lo activaré en todos los blogs que administro. Saludos!

  3. Hola Sr. Una pregunta, esta propuesta que ud indica puede emplearse para un equipo de trabajo con diferentes roles (ejem editor1,editor2, administrador) de un sitio web en wordpress???? . Gracias 😉

    1. No, este cambio de URL es para todos los usuarios con acceso a wp-admin. A los usuarios de una tienda online, por ejemplo, no les afecta, porque el acceso es desde portada, no acceden a wp-admin

  4. Jerry Castillo

    Saludos, lo probe y funcionó excelente, sin embargo cuando quiero ingresar con mi usuario y contraseña, apesar que los datos son correctos, no ingresa me redirecciona a la home. Retiro el código y funciona bien. A que se debe?

  5. Hola Fernando,

    Me surge una pequeña duda al respecto de este artículo. Utilizó iThemes Security, e hice el cambio de la url del login en una tienda con Woocommerce. El caso es que cuando estaba en el Area de administración, de forma aleatoria, me echaba. Si desactivaba la opción, no había problema. Al final esta desactivada, y, como bien comentas en tu guía de configuración de iThemes Security, la lista de ataques es interminable.

    ¿Te suena algo de esto?

    Gracias de antemano.

  6. Hola Fernando,
    Como siempre, muy interesante tus artículos. Por su simplicidad me he decantado por el plugin WPS Hide Login y funciona a la perfección. Pero aun así sigo recibiendo muchos intentos de acceso y he deducido que «alguien» se está chivando de la nueva dirección. ¿Como puedo averiguarlo? y sobre todo, ¿como puedo solucionarlo?.
    Gracias 😉

    1. Hola Nerea, pues yo miraría en el registro de acceso del plugin de seguridad o el hosting. Yo uso SG Security para la seguridad y ahí puedo verlo, y sino en el registro de accesos de las Site Tools de Siteground, no sé si es también tu hosting o tienes otro modo de verlo.

      De todos modos el método más seguro para proteger el acceso es activar la doble verificación, es lo mejor.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información base sobre privacidad:
- Responsable: Fernando Tellado ([email protected])
- Fin del tratamiento: Moderación de comentarios para evitar spam
- Legitimación: Tu consentimiento
- Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
- Derechos: Acceso, rectificación, portabilidad, olvido

 

Ir arriba