';

Information

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut rhoncus risus mauris, et commodo lectus hendrerit ac. Nam consectetur velit et erat fermentum aliquet. In laoreet, sem sit amet faucibus pulvinar, purus tellus tincidunt ex, vel blandit nibh dui sit amet justo.

Menú

Proteger wp-admin de WordPress

Uno de los problemas que siempre preocupan a los usuarios de WordPress, es la seguridad. Es prácticamente imposible crear una web a través de WordPress que sea 100% segura, ya que existen personas con conocimientos muy avanzados, pero podemos reducir sensiblemente las probabilidades de riesgo.

En este artículo veremos cómo proteger wp-admin, el directorio que contiene los archivos de nuestra administración de WordPress. La forma de acceder a la administración es a través de https://cualquersitioweb.com/wp-admin/ donde se nos pide un login para entrar. Ante el peligro, de que nos puedan descubrir nuestro usuario y contraseña, el objetivo de este artículo es asegurar el directorio wp-admin a través de ciertas medidas de seguridad.

Limitar el acceso por IP con .htaccess

Es uno de los métodos más radicales para conseguir asegurar tu sitio web. Cada vez que alguien acceda al login del directorio wp-admin de tu página web, el servidor controlará con que IP se ha accedido, si es la tuya te dejará entrar y en caso contrario se denega el acceso. Para implementar este muro de acceso tenemos que realizar lo siguiente.

Nos vamos a la carpeta wp-admin de nuestro sitio web de WordPress y dentro creamos un archivo .htaccess. Una vez creado lo abrimos con un editor de texto, luego copiamos y pegamos el siguiente código.

order deny,allow
deny from all
allow from xx.xx.xxx.xx

Sustituimos donde están las X por nuestra IP. Para saber cuál es nuestra IP solo tenemos que acceder a Cuál es mi IP y nada más acceder nos lo dirán.

Antes de aplicar esta técnica tenemos que saber si nuestra IP es fija o dinámica. Las IPs fijas son IPs que nunca cambian, incluso cuando apagas o reinicias el router. Las IPs dinámicas cambian cada vez que el router al que tienes conectado el ordenador vuelve a encenderse. Si tu IP es fija funcionará automáticamente, si es dinámica también funcionará, pero esto te obligará a que edites el archivo .htaccess para actualizar la IP cada vez que vayas a acceder al wp-admin.

¡Cuidado! He visto en algunos sitios donde explican esto mismo pero cometen un gravísimo error. Dicen de poner este código en el .htaccess de la carpeta raíz. Ni se os ocurra hacerlo, esto lo que hace es que tú si que podrás lógicamente acceder a tu administración pero nadie, absolutamente nadie (menos tú) podrá entrar ni siquiera a tu página web. La forma correcta de hacerlo es dentro de la carpeta wp-admin y no en la carpeta raíz.

Proteger wp-admin desde Panel Plesk

Consiste en crear un login con usuario y contraseña desde nuestro servidor y que nos pedirá nada más entrar a la administración de nuestro sitio web. Es como un doble escudo, tendremos que pasar por dos logins para acceder a nuestra administración, la creada por nuestro servidor y la de WordPress.

Accedemos a nuestro Panel Plesk o administración de nuestro hosting o servidor. Según el hosting contratado aparecerá de una forma u otra. Hacemos clic en Directorios protegidos con contraseña.

proteger wp-admin de wordpress img1 - iborra web design

Seguir los pasos que os digan para poder crear un directorio protegido. En mi caso, hay que darle clic donde dice Añadir Directorio protegido. Nos pedirá que directorio queremos proteger y el nombre que le vamos a poner a esa área protegida.

proteger wp-admin de wordpress img2 - iborra web design

Una vez creado hacemos clic en el directorio que acabamos de proteger. Nos abre una nueva ventana y hacemos clic, en mi caso, a Añadir un usuario. Aparece un nuevo panel a rellenar. Intentar que el nombre de usuario y la contraseña sean difíciles de averiguar. Una vez rellenado le damos a aceptar.

Con esto ya lo tendremos listo. Cuando entremos en nuestra administración nos pedirá el usuario y contraseña que acabamos de crear.

Proteger wp-admin mediante un plugin

Existen varios plugins interesantes que actúan como medidas de seguridad para proteger wp-admin. Os propongo los dos siguientes:

  • Login LockDown

proteger wp-admin de wordpress img3 - iborra web design

Este plugin nos permite limitar el numero de logins y el tiempo a esperar si se fallan, también nos crea una lista negra con las IPs que han intentado acceder fraudulentamente a nuestro WordPress y que podemos gestionar.

Se puede personalizar el número de intentos, la velocidad a la que no se permiten los intentos y los minutos que una persona debe esperar una vez que se la ha bloqueado, entre otras opciones. Podéis cambiar los avisos que están en inglés a español editando el único archivo del plugin loginlockdown.php.

Ir al sitio oficial del plugin

  • WPS Hide Login

proteger wp-admin de wordpress img4 - iborra web design

Se trata de un plugin gratuito y ligero. Su principal funcionalidad es la de renombrar la ruta de acceso al backend de WordPress, así evitamos de que bots maliciosos intenten acceder al wp-admin de WordPress a través de fuerza bruta. Un plugin muy recomendable para proteger wp-admin.

Lo primero que tenemos que hacer es renombrar la ruta de acceso al wp-login en las opciones del plugin. Si utilizamos un plugin de caché tenemos que poner la URL como URL excluida o URL a no cachear en la sección corespondiente del plugin de caché que tengáis. Tenéis más información en la página del plugin sobre este tema. Si alguna vez se os olvida que URL pusisteis, debéis acceder mediante FTP o Panel Plesk a: /wp-content/plugins/ y borrar la carpeta de WPS Hide Login.

Ir al sitio oficial del plugin

Evitar que WordPress dé pistas en el login de wp-admin cuando erramos

WordPress se pasa dando información en el login. Cuando nos equivocamos en poner el usuario nos sale el mensaje «ERROR: Nombre de usuario no válido» y cuando nos equivocamos sólo en la contraseña nos dice «ERROR: La contraseña que has introducido para el nombre de usuario X es incorrecta«. Nos da muchas pistas en donde nos estamos equivocando, el error de contraseña sale cuando el usuario lo has puesto bien.

Con un pequeño código, que se implementa de forma sencilla, podemos conseguir que no se muestren esos mensajes de error y así proteger mejor nuestra entrada a la administración y no dar pistas a usuarios con malas intenciones. Para ponerlo, abrimos el archivo functions.php de nuestro Child Theme y copiamos y pegamos el siguiente código.

// Esconder mensajes de error del login
add_filter('login_errors', '__return_false');

Con este código el mensaje ya no se mostrará, el campo de información del error saldrá en blanco. También os puede interesar el siguiente artículo donde hablo de este tema en concreto, Cómo deshabilitar las sugerencias del login en WordPress.

Seguramente existen otras muchas medidas para mejorar la seguridad del directorio y proteger wp-admin. Si conocéis alguna podéis colaborar en los comentarios.

!Si te gustó este artículo, no dejes de visitar el blog o suscribirte a la newsletter! | Iborra Web Design

Comments
Compartir
Paco (Iborra Web Design)

Artículos destacados

Leave a reply