Cómo proteger el login de WordPress

¿Por qué debo proteger el login de WordPress si ya tengo un nombre de usuario y una contraseña segura?

Esta es seguramente una de las preguntas más recurrentes cuando se habla de la necesidad de proteger el directorio /wp-admin. Pues bien, el principal objetivo de cualquier atacante es acceder al backend de una web y tomar el control de la misma. Esto son capaces de hacerlo gracias a los bots, que prueban infinidad de nombres de usuario y contraseñas hasta descifrar la información de acceso.

Para reducir las posibilidades de que esto ocurra, lo primero es utilizar un nombre de usuario diferente a admin, ya que es el predefinido de WordPress, pero hay otras medidas de seguridad que tienes que tener en cuenta. ¿Vemos de cuáles se trata?

Veamos entonces algunos tips para proteger el login de WordPress.

4 formas de proteger el login de WordPress

Existen multitud de formas de proteger el login de WordPress y sea cual sea la que elijas, siempre será una buena decisión que hayas decidido implementar una capa de seguridad extra a tu sitio que actúe como barrera para los usuarios malintencionados.

A continuación yo te muestro 4 formas de hacerlo. ¡Tú elige la o las que prefieras! 🙂

1. Cambiar la URL de acceso a tu WordPress

Por defecto, WordPress, te facilita una URL de acceso del tipo www.tudominio.com/wp-admin/. A través de esta URL introduces las credenciales de WordPress y ¡listo! Ya puedes acceder al backend de WordPress.

Si quieres ponérselo difícil a los atacantes, modifica esta URL por una personalizada. Por ejemplo, puedes cambiar /wp-admin por /acceso, /entrada o cualquier otro nombre que se te ocurra para acceder a WordPress.

Este cambio puedes hacerlo modificando el archivo .htaccess, o bien a través de un plugin. Nosotros te explicamos las dos opciones:

a) Modificando el archivo .htaccess

Aunque no tengas muchos conocimientos técnicos, modificar el archivo .htaccess no te resultará muy complicado. Solo debes acceder por FTP al fichero .htaccess y añadir la siguiente línea de código:

RewriteRule ^entrar$ http://tudominio.com/wp-login.php [NC,L]

Importante: Sustituye la palabra «entrar» por la que quieras utilizar para acceder al backend de WordPress y «tudomino.com» por el nombre de tu web. Una vez que lo hayas establecido, guárdalo y vuélvelo a subir.

Si nunca has tocado este archivo, te recomiendo que le eches un ojo a esta guía:

• Dónde está el .htaccess de WordPress y cómo modificarlo.

b) A través de un plugin

Seguro que el repositorio de WordPress encuentras muchos más que te permiten hacer este cambio. En este ejemplo, te muestro cómo hacerlo con WPS Hide Login.

Una vez que lo instalas y lo activas, automáticamente el plugin genera una nueva url de acceso a WordPress del tipo www.tudominio.com/login/ que puedes modificar a tu gusto, tal y como ves en la siguiente imagen:

¡Listo! Modificando el archivo .htacces o a través del plugin, podrás modificar fácilmente la URL de acceso a WordPress.

2. Protege el directorio del login con usuario y contraseña

Más que una alternativa al método que acabamos de ver, se trata de una medida de seguridad complementaria.

Protegiendo el directorio de acceso a WordPress /wp-admin o el que hayas establecido, nadie podrá acceder a la pantalla de login de WordPress sin antes haber introducido un nombre de usuario y una contraseña válida.

Esto puedes hacerlo fácilmente desde cPanel siguiendo estos pasos:

1º. Accede al panel de control de tu hosting y, en la sección «Archivos», pulsa sobre «Privacidad del directorio».

2º. Ahora se abrirá una nueva ventana y se mostrarán algunas carpetas. Pulsa sobre el icono de la carpeta public_html, localiza wp-admin (o la ruta personalizada) y haz clic sobre él.

3º. Ya casi hemos acabado. Establece el nombre del directorio y pulsa sobre «Salvar». A continuación, establece un nombre de usuario y una contraseña segura y vuelve a pulsar sobre «Salvar». ¡Hecho!

Cada vez que intentes acceder a la url de acceso a WordPress, se mostrará una ventana emergente como esta, en la que deberás introducir unas credenciales válidas. Es como una doble autenticación; más seguridad, menos peligro.

Importante

Para que funcione la privacidad de directorio, es necesario también que realices estos dos pasos:

1. Crear un fichero con el nombre «401.shtml» en la raíz donde esté instalado WordPresscon el contenido:

   <h3>Acceso no permitido</h3>

2. Introduce en el .htaccess de la carpeta «wp-admin» las siguientes líneas de código, ya que hay muchos plugins que hacen uso de ese fichero. En caso contrario, en muchas instalaciones el sistema podría pedir usuario y contraseña a los visitantes simplemente accediendo a la página principal del WordPress o a algún post.

   <Files admin-ajax.php>
   Satisfy Any
   Allow from all
   </Files>

3. Activa el 2FA en WordPress

Utilizando un doble factor de autenticación, también conocido como 2FA, cualquier usuario a la hora de identificarse en WordPress deberá añadir el nombre de usuario y la contraseña y, si estos datos son correctos, se encontrará una doble verificación en el que debe añadir algo más para acceder al backend.

En el repositorio oficial de WordPress tienes un montón de plugins 2FA. Yo he probado muchos de ellos y te recomiendo que pruebes alguno de estos cinco:

• Wordfence Login Security
• WP 2FA
• Google Authenticator – WordPress Two Factor Authentication
• Two Factor Authentication
• Duo Two-Factor Authentication

Además, te dejo esta guía en la que te muestro paso a paso cómo activar la doble autenticación en WordPress:

• Cómo activar el 2FA en WordPress

¡Ojo! Si ya utilizas algún plugin de seguridad como iThemes Security o Wordfence ya dispones de esta opción en la propia configuración del complemento y no necesitas instalar ningún complemento adicional.

4. Utiliza un sistema de Captcha

Seguro que estás muy acostumbrado a tener que probar que «no eres un robot» cuando te registras en alguna página, al escribir un comentario o al regenerar una contraseña, por ejemplo.

Estos sistemas de CAPTCHA  en WordPress son útiles, ya que impiden a los bots realizar intentos masivos de acceso a tu web. Un humano sería incapaz de realizar tantos intentos seguidos y en tan poco tiempo, así que si le pedimos que antes de comprobar la validez de las credenciales resuelva una pequeña operación matemática, escriba la palabra que ve en la imagen o seleccione una fotografía determinada, las cosas cambian ¡y mucho!

Un bot no es capaz de hacerlo, así que es una muy buena manera de aplicar una doble autenticación en WordPress. Por ejemplo, con el plugin Google Captcha (reCAPTCHA) by BestWebSoft puedes hacerlo fácilmente siguiendo estos pasos:

1º. Instala y activa el plugin en tu aplicación.

2º. En la columna de la izquierda verás que se crea una nueva sección «Googe Captcha», accede a ella y pulsa sobre «Configuraciones».

Una vez que hayas conectado tu web con el sistema de Capcha de Google, introduce las claves que te facilitan para poder conectar tu web.

3º. No podrás acceder a todas las opciones del plugin, ya que solo están disponibles en la versión pro, pero con la gratuita tienes suficiente para proteger el login de WordPress. Selecciona al menos la opción «Formulario de acceso» y, si crees que las demás también son útiles, hazlo. Por último, pulsa sobre «Guardar cambios».

De esta manera, cada vez que intentes acceder al login de WordPress, deberás demostrar que no eres un bot. No te llevará más de dos segundos hacerlo, en cambio, es una barrera muy difícil de atravesar por los bots.

Recapitulando…

Como ves, hay diferentes formas de proteger el wp-admin o el login de WordPress. Yo te acabo de mostrar 4 buenas opciones para hacerlo que no son excluyentes entre sí y que puedes configurarlas en solo unos pocos minutos. Será una buena forma de mantener tu web y todo tu trabajo a salvo de los ciberdelincuentes.

Ahora es tu turno. ¿Cómo proteges tú el login de WordPress? ¿Cuál de las formas que acabas de ver crees que es más efectiva?