Una de las medidas básicas de seguridad en WordPress es ocultar la pantalla de acceso y/o registro de WordPress, para evitar ataques de fuerza bruta y, simplemente, ponérselo más difícil a los hackers.
El motivo
La causa por la que es importante ocultar la pantalla de acceso de WordPress es debido a que la mayoría de los hackers utilizan rastreadores que buscan direcciones del tipo /wp-login.php o /wp-admin/ accesibles en las que poner en marcha sus máquinas automáticas de detección y prueba de usuarios y contraseñas.
Al ocultar tu pantalla de acceso por algo que no sea el estándar de WordPress te quitas de en medio a miles de estos atacantes vagos que usan aplicaciones para hackear instalaciones de WordPress.
La(s) solución(es)
Una solución muy común para el administrador de WordPress es utilizar plugins de seguridad como iThemes Security o All in One WP Security, que incluyen utilidades para ocultar la pantalla de acceso, y no es mala solución.
Pero lo que yo te propongo hoy es conseguir lo mismo sin plugins, por si no necesitas las otras tropecientas utilidades de los plugins de seguridad.
El código
Lo que vamos a hacer es crear una redirección de la pantalla de acceso de WordPress a una URL de nuestra elección. Para ello nos valdremos del archivo .htaccess.
Búscalo en el directorio raíz de tu instalación de WordPress y ábrelo con tu aplicación favorita de FTP o desde el panel de tu alojamiento.
A continuación añade las siguientes líneas, mejor antes de donde están los rewrite de WordPress ( #BEGIN WORDPRESS):
|
1 2 3 4 5 6 7 8 9 10 11 |
# BEGIN Ocultar acceso WP RewriteRule ^milogin$ https://%{SERVER_NAME}/wp-login.php?key=123abc&redirect_to=https://%{SERVER_NAME}/wp-admin/index.php [L] RewriteCond %{HTTP_REFERER} !^https://%{SERVER_NAME}/wp-admin RewriteCond %{HTTP_REFERER} !^https://%{SERVER_NAME}/wp-login.php RewriteCond %{HTTP_REFERER} !^https://%{SERVER_NAME}/login RewriteCond %{QUERY_STRING} !^key=123abc RewriteCond %{QUERY_STRING} !^action=logout RewriteCond %{QUERY_STRING} !^action=lostpassword RewriteCond %{REQUEST_METHOD} !POST # END Ocultar acceso WP |
Notas importantes
El código anterior es de ejemplo, así que hay cosas que debes cambiar:
- En la línea 2 debes cambiar milogin por el slug de tu URL de acceso personalizada ( acceso, entrada, lo que quieras). La idea es que tu URL de acceso será a partir de aquí , o lo que hayas elegido tú, por ejemplo, .
- En las líneas 2 y 7 debes cambiar la key con 123abc por otra cosa. Es una clave oculta que no verán los hackers. La única regla es usar lo mismo en ambas líneas y usar solo letras y números.
Y ya está. Guarda los cambios y comprueba que funciona. Si tras guardar ves un error 500 en tu web será que algo has puesto mal en el código, repásalo y modifícalo.
¿Te gustó este artículo? ¡No sabes lo que te estás perdiendo en YouTube!
