wp-admin y wp-login.php de WordPress

Cuando gestionamos un sitio web, hay dos rutas que se convierten en el corazón de nuestro día a día, esta es el acceso al escritorio y el punto exacto donde iniciamos sesión. Y aunque muchos las usamos casi en automático, pocas veces nos detenemos a entenderlas con calma.

Contrata ahora tu plan de hosting desde solo 2,96€/mes. ¡Y con IA incluida!

Elige tu plan con 75% DTO

En condiciones normales, entramos a nuestro dashboard de WordPress, hacemos cambios, actualizamos plugins de WordPress, publicamos contenido y seguimos con la rutina. Pero es posible que en algún momento nos plantemos: ¿está protegido nuestro acceso? Porque estas rutas no solo son útiles para nosotros, también son el objetivo favorito de bots y ataques automatizados que intentan entrar una y otra vez hasta encontrar una puerta abierta.

La buena noticia es que no hay que ser expertos en ciberseguridad para protegerlas mejor. Con algunos ajustes básicos y un poco de orden, podemos reforzar el acceso a nuestro sitio sin complicarnos la vida. Fortalecer contraseñas, usar verificación en dos pasos y limitar intentos de inicio de sesión, incluso aplicar restricciones por IP o añadir capas de protección desde el panel del hosting.

Vamos a entender de forma clara qué son wp-admin y wp-login.php de WordPress, qué función cumple cada uno y por qué conviene tratarlos como zonas sensibles dentro de nuestra instalación. También veremos opciones prácticas para protegernos sin afectar la experiencia de los usuarios que sí deben acceder, sobre todo si trabajamos en equipo o si administramos varios roles dentro del sitio.

Si alguna vez hemos sentido esa inquietud de ojalá nadie esté intentando entrar ahora mismo, aquí vamos a encontrar una ruta clara para ganar tranquilidad y control. ¡Vamos a ello!

Archivos wp-admin y wp-login

Tanto wp-admin como wp-login (wp-login.php para ser exactos, pero vamos a omitir la extensión del archivo para entendernos), son bastante parecidos en un primer nivel, pero muy diferenciados entre sí.

Lo que tienes que saber sobre wp-admin

wp-admin es lo que, seguramente, todos conocemos al escribir justo esas letras detrás de nuestro dominio web. (www.ejemplo.com/wp-admin).

Es una de las maneras por la que los más amateur tienen de saber si la web en cuestión está usando WordPress.

No obstante, hay que tener otros factores en cuenta para saber con qué está hecha una web, ya que hoy en día es muy fácil esconder o mover de sitio el cómo se inicia sesión en WordPress (no te preocupes, al terminar el artículo sabrás cómo hacerlo tú mism@).

Wp-admin es una carpeta de las tres que vienen por defecto en WordPress (wp-admin, wp-content, wp-includes).

Dentro de dicha carpeta, no hay ningún archivo de configuración (al contrario que wp-content, por ejemplo). Todo el contenido es estático, y contiene archivos internos como scripts y librerías.

Esto en parte es bueno, porque si algún día tienes problemas serios con esa carpeta, lo mejor es borrarla y volverla a subir a partir de los archivos originales que te descargues desde WordPress.

Lo que tienes que saber sobre wp-login

wp-login, en cambio, es un archivo individual llamado wp-login.php y que se encuentra en la carpeta principal de tu web (la famosa carpeta root).

Dicho archivo hace que aparezca un formulario de login WordPress (el que todos conocemos), en el cual escribirás un usuario y contraseña y podrás acceder al panel de administración.

Hay diversos plugins que hacen un poco «más complejo» dicho formulario, añadiendo un CAPTCHA, o un factor de autentificación en dos pasos, etc.

No te preocupes si tanto wp-admin como wp-login te confunden un poco, porque escribiendo ambos detrás de una web de WordPress vas a acabar en el mismo sitio: el login WordPress que todos conocemos.

Y precisamente, porque es muy fácil adivinar si una web está hecha con WordPress o no, escribiendo wp-admin o wp-login al final del dominio, voy a explicarte, junto con recursos y vídeo (más abajo), cómo protegerse ante posibles ataques o gente demasiado curiosa.

Protección de wp-admin y wp-login

Cómo acabo de mencionar en el punto anterior, la finalidad de este apartado del artículo es conseguir que, precisamente, no tengas URL demasiado obvias.

Y con esto me refiero a las oficiales (por ende, las obvias) que son:

• https://ejemplodominio.com/wp-admin
• https://ejemplodominio.com/wp-login.php

Eso sí, recuerda que no estás obligad@ a poner en tu web ninguna de las soluciones que te propongo a continuación, y que, de querer hacerlo, primero lo hagas en un entorno test, ya que tu web se podría romper.

Protección con contraseña desde WePanel

Este procedimiento es bastante sencillo y lo puedes hacer desde el panel de tu servidor (si lo tienes con Webempresa, basta con que sigas los pasos que describo en el apartado vídeo: minuto 2:56).

Como verás, es un método sencillo y que añade una capa de seguridad extra a aquellos «curiosos» que intentan adivinar tu contraseña de administrador de WordPress.

TIP adicional: recuerda no utilizar nunca el usuario admin, ya que es el más fácil de adivinar.

Uso de contraseñas muy fuertes

Al igual que el consejo de no usar “admin”, es más que recomendable (casi obligatorio hoy en día) usar una contraseña muy compleja.

No caigas en la tentación de usar contraseñas tipo “12345”, “nombredeempresayañoactual” o “nombredetucalleyañoactual“.

Te invito a que busques en Google “contraseñas más utilizadas en 2018” y si encuentras la tuya, o alguna muy parecida, cámbiala por una mucho más fuerte y rara.

Puede que pienses que no la vas a recordar, ¡y es completamente normal!, por ello te recomiendo que utilices esto:

• Un gestor de contraseñas: Por ejemplo, Webempresa dispone de la aplicación CiberProtector. Es una herramienta con la que puedes crear, almacenar, utilizar y compartir tus contraseñas de forma segura.
  
  Además, la VPN de CiberProtector es una red de seguridad para que te conectes a internet tranquilamente y a salvo desde tu ordenador o tu móvil.




• Un generador de contraseñas complejas: aunque CiberProtector ya incorpora uno, intenta que tu contraseña, por lo menos, tenga una letra en mayúscula, un número y un símbolo.

Recomendación: ¿qué tal si añades un plus de seguridad al usuario con el que accedes a tu Web?

Si ya estás trabajando, por ejemplo, con una página web WordPress, puedes utilizar CiberProtector (creado por Webempresa).

Con esta herramienta consigues más protección para el wp-admin añadiendo autenticación en dos pasos desde tu Smartphone.

Verificación en dos pasos

Aunque opcional, es también muy recomendable añadir la verificación en dos pasos a tu login de WordPress.

Esto puedes también hacerlo con el plugin de WordPress 2FA de Webempresa que forma parte de la herramienta de CiberProtector y con el que puedes hacer tu wp-admin y wp-login más seguros.

Añadir un segundo factor de autorización al formulario de acceso de WordPress garantiza que aunque alguien sepa por descubrimiento o sustracción de datos, tu usuario y contraseña de WordPress, no podrá acceder al dashboard de tu web como administrador/a si no completa la autenticación con el código 2FA que se genera desde tu móvil con CiberProtector.

Limitación de intentos de login

Otra manera de frenar los ataques es limitar los intentos de login en WordPress. Este método es muy recomendable, sobre todo si tienes muchos usuarios, y no quieres sobrecargar la web.

Prueba con este plugin, te ayudará mucho.

Que solo IP específicas puedan acceder

Aquí me pongo un poco más “quisquilloso”, ya que con el código que te escribo a continuación, podrás hacer que solo tú puedas acceder al admin de tu web, desde tu ordenador (o quién tú elijas).

Esto lo vas a conseguir diciéndole a tu login de WordPress que aparezca solamente cuando wp-admin o wp-login sea visitado por una determinada IP.

La IP, un número único que define tu ubicación, desde el dispositivo que te conectes en concreto.

Para saber cuál es tu IP, hay muchas herramientas web. Puedes visitar esta web, y la verás enseguida.

TIP para usuarios avanzados: si estás usando un cambiador de VPN, cuidado, porque tu IP va a cambiar cada vez, ¡pero esto ya lo sabrás!

Una vez sepas cuál es tu IP, escribe (copia y pega más bien) este código en un .htaccess que debes crear en la raíz de la carpeta wp-admin de tu instalación de WordPress, y cambia las ”XXX.XXX.X.X” por tu IP:

order deny
allow allow from XXX.XXX.X.X
deny from all

No dar pistas al fallar el acceso

Cuando accedes a wp-admin o wp-login y escribes el usuario y la contraseña, si has escrito cualquiera de los dos mal, tu login de WordPress te dará pistas de lo que has escrito mal.

Así es muy fácil saber si en lo que te has equivocado es en la contraseña, o en el usuario, o si cierto email existe dentro de la base de datos de esa web.

Es recomendable que cambies ese mensaje de error por algo que sea menos explicativo, como por ejemplo un mensaje de Upss, ha ocurrido algo y no puedes acceder.

Añade este código al archivo functions.php dentro de wp-content, en la plantilla que estés utilizando en tu instalación de WordPress:

function no_wordpress_errors(){ return 'Ups, ha ocurrido algo y no puedes acceder'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Requerir contraseñas fuertes

Si tienes una web con muchos usuarios, o donde se puedan registrar personas por sí mismas, es recomendable que les obligues a utilizar contraseñas fuertes.

Esto evitará problemas con las cuentas de tus usuarios, quejas, decepciones y protestas (aunque en teoría sea culpa suya, por no haber usado una contraseña fuerte).

Usa este plugin para tal fin.

Resetear contraseñas de todos los usuarios a la vez

Si tu web ha sido hackeada, y has entrado en pánico, respira: ¡Les ha pasado a las webs más grandes tipo Facebook o Twitter! (y en teoría ellos tienen lo más de lo más en anti-hackeos).

Quizás alguna vez te ha llegado un correo de alguna web a la que pertenezcas, pidiéndote que cambies tu contraseña por si acaso, ya que han sufrido un ataque y se han visto comprometidas miles de cuentas de usuario (a mí me pasó con eBay).

Esto lo hacen para prevenir malos usos por parte de las cuentas hackeadas, y para que los usuarios que no han sido atacados, se sientan más seguros al «tomar el control» y cambiar la contraseña de acceso.

Puedes hacer un reseteo general de todas las cuentas de usuarios a la vez en tu login de WordPress, utilizando este plugin para tal fin.

Nota: cuidado, muchos emails tipo phishing hacen esto, imitando las páginas de login de las principales webs, para que escribas tu contraseña antigua, y de esta manera engañarte.

Limitar acceso a panel de administración

Cuando he construido webs con cuentas de usuario «normales», que en teoría no tienen por qué ver el panel de administración de toda la vida (el dashboard de WordPress que ya conoces, tras iniciar sesión), me ha ayudado este plugin.

Lo que hace es que cuando un usuario normal intenta utilizar wp-admin o wp-login para acceder a su cuenta, no se vaya al famoso dashboard, sino que vaya a la página que asignes para tal fin (una simple redirección a una URL específica).

Desloguear automáticamente a usuarios

Aunque ya sea rizar el rizo, te recomiendo también que desconectes de tu web a los usuarios ya conectados, y que no hayan producido ningún tipo de actividad en un tiempo determinado (en inglés idle).

Esto nunca está de más, porque les obligarás a volver a la pantalla de login de WordPress y conectarse de nuevo.

Así se sentirán más seguros, y entenderán lo que ha pasado, ya que es por su propia seguridad.

Usar WPS Hide Login

Este no es el primer artículo que se escribe sobre seguridad en WordPress en el blog de Webempresa, así que te recomiendo que le eches un vistazo a este artículo sobre seguridad, en donde, utilizando el plugin de WPS Hide Login, se consigue cambiar las URL del login de WordPress.

En dicho artículo aprenderás a que no salga la pantalla de login de WordPress al escribir wp-admin o wp-login.php después del dominio que tengas, sino que tú mism@ podrás elegir qué palabra hay que escribir para poder conectarse a tu web.

Vídeo sobre los archivos wp-admin y wp-login.php

Aquí te dejo un pequeño vídeo de unos minutos de duración que explica de una manera sencilla y clara la diferencia entre wp-admin y wp-login.

A partir del minuto 2:56 podrás ver el procedimiento para proteger con contraseñas tu WordPress desde el WePanel.

Conclusiones

Llegados a este punto, podemos ver con mucha más claridad que wp-admin y wp-login.php de WordPress no son rutas técnicas que usamos por costumbre, sino dos puertas que determinan en gran parte la seguridad de todo nuestro sitio. Y lo interesante es que, aunque suene serio, protegerlas no tiene por qué ser un proceso complicado ni reservado solo para perfiles avanzados.

En esta guía entendimos qué función cumple cada una cómo wp-login.php actúa como el punto de entrada donde validamos nuestras credenciales, y cómo wp-admin es el espacio donde gestionamos todo lo que ocurre en nuestra web. Esto, por sí solo, ya nos deja una idea clara: si alguien consigue acceso a estas zonas sin autorización, el impacto puede ser enorme. Pero también vimos que no estamos indefensos.

Lo que mas nos interesa de este tema es que la protección se puede construir por capas, empezando por lo básico y escalando según lo que necesitemos. Contraseñas fuertes, verificación en dos pasos, limitación de intentos de login y buenas prácticas de gestión de usuarios son los elementos que pueden ayudarnos a reducir muchísimo el riesgo de ataques.

Y si queremos un extra de control en nuestro sitio , podemos apoyarnos en opciones como restringir acceso por IP, no dar pistas en errores de inicio de sesión, exigir contraseñas robustas a los usuarios o incluso reforzar la protección desde el panel del hosting. Todo suma.

También te puede interesar:

• Plantillas WordPress
• Limpiar caché ordenador
• Códigos de estado HTTP
• Precio de crear una página web
• Que es one page
• Temas más rápidos para WordPress
• Cambiar página de inicio WordPress