En el manual del hacker novato uno de los primeros ejercicios debe ser, con diferencia, entrar mediante fuerza bruta en un sitio WordPress desde la pantalla de acceso, que por defecto siempre estará en https://dominio.com/wp-login.php.
Así que solo tienen que poner en marcha su monitor de URLs con wp-login.php y empezar a lanzar ataques de fuerza bruta a toda web que tenga accesible esa URL.
Es por este motivo que una de las primeras líneas de defensa de todo sitio WordPress debe ser ocultar o cambiar la URL de acceso a la administración de WordPress, o proteger el acceso mediante la doble verificación.
Hoy vamos a aprender lo primero: ocultar o cambiar la URL de acceso a la administración de WordPress.
Cambiar y ocultar la URL de acceso a WordPress con plugins
Una de las maneras más sencillas y libres de riesgo de cambiar y ocultar la url de acceso a la administración de WordPress es hacerlo con plugins.
Te evitas tener que modificar archivos del núcleo de WordPress o del servidor, y siempre puedes cambiar de plugin o de método de manera sencilla, además de que los desarrolladores se ocuparán ellos de ir actualizando su plugin a medida de las crecientes necesidades de seguridad o mejoras solicitadas por los usuarios.
Lo mejor es que hay muchos plugins para este objetivo de seguridad, muchos…
Pero vamos, que no tienen pegas siempre que funcionen bien, y los que te voy a recomendar a continuación funcionan todos a la perfección.
WPS Hide Login
Este es uno de los plugins más populares y sencillos de usar para este objetivo de cambiar/ocultar la URL de acceso a WordPress.
Nada más instalarlo y activarlo pásate por sus ajustes, que encontrarás al final de la pantalla de ajustes generales de WordPress (me encanta), elige la nueva URL y, de paso la URL a la que quieres mandar a los que traten de acceder a la pantalla de acceso por defecto.
Guarda los cambios y ya está. ¿Quién dijo que fuese difícil?
iThemes Security
Si ya utilizas el plugin de seguridad iThemes Security no necesitas instalar ningún plugin adicional, ya incorpora gratis esta herramienta de ocultar la pantalla de acceso a WordPress.
El ajuste se llama «Ocultar escritorio»
Simplemente configúralo eligiendo tu nueva URL de acceso y a la que quieres mandar a los que traten de acceder a la URL por defecto de WordPress.
Guarda los cambios y, además de tener ya oculta la URL de acceso a WordPress, todos los usuarios de la web recibirán un amable correo electrónico con la nueva URL de acceso ¿se puede hacer mejor?
SG Security
El plugin de seguridad creado por SiteGround, disponible para cualquier instalación WordPress, no solo webs alojadas en sus servidores, también incorpora, además de la doble verificación, la utilidad de cambiar la URL de acceso, incluso la de registro entre sus herramientas.
All In One WP Security & Firewall
También este popular plugin de seguridad ofrece la característica de ocultar la URL de acceso a WordPress.
Pásate por los ajustes de fuerza bruta y ahí lo encontrarás. Solo tienes que activar la herramienta, elegir la nueva URL y guardar los cambios.
Cambiar y ocultar la URL de acceso a WordPress desde .htaccess
Si eres de los que prefieres tener todos tus códigos controlados y no depender de terceros es posible que te hayas planteado si hay otras maneras de cambiar la URL de acceso a WordPress.
Y sí, efectivamente, una de ellas es cambiar la URL de acceso a la administración de WordPress en un servidor Apache usando el archivo .htaccess. ¿Vamos a ello?
Aquí tienes el código que estabas esperando:
# BEGIN Ocultar URL login WP
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^tu_url_personalizada/?$ /wp-login.php?tu_clave_secreta [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^tu_url_personalizada/?$ /wp-login.php?tu_clave_secreta&redirect_to=/wp-admin/ [R,L]
RewriteRule ^tu_url_personalizada/?$ /wp-admin/?tu_clave_secreta [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/tu_url_personalizada
RewriteCond %{QUERY_STRING} !^tu_clave_secreta
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?tu_clave_secreta [R,L]
</IfModule>
# END Ocultar URL login WP
¿Qué debes cambiar en el código anterior?
Para que el código anterior funcione correctamente debes cambiar algunos valores:
tu_url_personalizada— Esta será tu nueva URL para acceder a la administración del sitio. Crea la tuya propia, por ejemploescritorioopanel_de_controlomi_casao algo así. Trata de que sea única porque los bots actuales aprenden bastante rápido las direcciones de acceso más utilizadas.tudominio.com— La dirección de tu web, sin https://. Cámbiala a la tuya.tu_clave_secreta— Esto debes reemplazarlo por una clave secreta que crees. Debería ser una cadena de letras y números en orden aleatorio preferentemente. Por ejemplo,92dkew1e9383d4wjpeo algo similar. Guárdala en un lugar seguro por si la necesitas o quieres cambiarla.
Cuando guardes los cambios la página de acceso estará en tudominio.com/tu_url_personalizada, por ejemplo – ayudawp.com/mi_casa.
Lo he probado y funciona de maravilla, mostrando un error si tratas de acceder a las URLs de acceso y administración por defecto de WordPress.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación hace 3 años o más que no se actualiza. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te sirvió?, pues entonces nada :-)
¿Qué pasa si tienes usuarios que se loguean? Como un sitio de membresía con MemberPress. Tiene su propio login, pero creo que por detrás acaba usando wp-login.php
¿Como por ejemplo la pantalla de acceso de WooCommerce? 🙂
Pues ahí no le afecta, esto solo afecta a quien intente acceder a la interfaz de wp-admin de WordPress.
Supongo que si entro a wordpress con ea dirección y mi cuenta es admin me va a aparecer el panel de control superior de wordpress no?, me refiero a todos los plugins que no son wps hide login y por supuestisimo entra lo del codigo.
Excelente !!!, gracias por trabajo, dedicación y compartir. Saludos desde Chile
Excelente, Fernando. Uso el All in One WP security y aún sabiendo de la existencia de esa opción me daba un poco de «nosequé» el usarla. Pero viendo el log de ataques brutos creo que lo activaré en todos los blogs que administro. Saludos!
No sabía que se podía hacer eso con Wordpress. Probaré. Muy útil!
Hola Sr. Una pregunta, esta propuesta que ud indica puede emplearse para un equipo de trabajo con diferentes roles (ejem editor1,editor2, administrador) de un sitio web en wordpress???? . Gracias 😉
No, este cambio de URL es para todos los usuarios con acceso a wp-admin. A los usuarios de una tienda online, por ejemplo, no les afecta, porque el acceso es desde portada, no acceden a wp-admin
Si quisiera cambiar el ingreso para que sea por medio de un sub dominio como seria el proceso
Saludos, lo probe y funcionó excelente, sin embargo cuando quiero ingresar con mi usuario y contraseña, apesar que los datos son correctos, no ingresa me redirecciona a la home. Retiro el código y funciona bien. A que se debe?
Hola Fernando,
Me surge una pequeña duda al respecto de este artículo. Utilizó iThemes Security, e hice el cambio de la url del login en una tienda con Woocommerce. El caso es que cuando estaba en el Area de administración, de forma aleatoria, me echaba. Si desactivaba la opción, no había problema. Al final esta desactivada, y, como bien comentas en tu guía de configuración de iThemes Security, la lista de ataques es interminable.
¿Te suena algo de esto?
Gracias de antemano.
No me ha pasado nunca que me eche de la cuenta salvo cuando caduca la cookie de WP a los 7 o 15 días
Hola Fernando,
Como siempre, muy interesante tus artículos. Por su simplicidad me he decantado por el plugin WPS Hide Login y funciona a la perfección. Pero aun así sigo recibiendo muchos intentos de acceso y he deducido que «alguien» se está chivando de la nueva dirección. ¿Como puedo averiguarlo? y sobre todo, ¿como puedo solucionarlo?.
Gracias 😉
Hola Nerea, pues yo miraría en el registro de acceso del plugin de seguridad o el hosting. Yo uso SG Security para la seguridad y ahí puedo verlo, y sino en el registro de accesos de las Site Tools de Siteground, no sé si es también tu hosting o tienes otro modo de verlo.
De todos modos el método más seguro para proteger el acceso es activar la doble verificación, es lo mejor.
Lo he probado hoy en codigo y solo me oculta el login y admin pero no me accesa con la url personalizada, cambio algo?
Hola Fernando,
He hecho los cambios para ocultar el directorio wp-admin en htaccess, copiando tu código y haciendo las sustituciones que mencionas.
Efectivamente, el directorio se ha ocultado, pero cuando ingreso el nuevo, me dice que no encuentra la «contraseña». He restaurado el archivo htaccess original, pero no funciona, me dice que el directorio no se encuentra y manda a un 404.
Necestio ayuda urgente porque he perdido el acceso a mi web (de un cliente, en realidad).
¿Cómo puedo recuperar la configuración original? Incluso he borrado la caché, pero no funciona.
Ya lo he solucionado, era una tontería y es que la clave secreta incluía almoadillas. en cuanto me he dado cuenta las he quitado y ya funciona.
El problema es que sigo sin poder volver a atrás.
Muchísimas gracias por tu ayuda.