Descuento 20% Diciembre
Plugin Optimización de Imágenes Gratuito para WordPress
Miércoles, 30 Diciembre 2015 23:14

Seguridad en WordPress, personaliza el acceso a wp-admin

Escrito por 
CMS:  WordPress |  Versión:  4.4.x |  Nivel de dificultad:  Básico |  Tiempo estimado de lectura:  10 minutos


seguridad en WordPressYa hace casi 2 años que hablábamos de como mover el login de WordPress para protegerlo de ataques de fuerza bruta y diccionario y a juzgar por las casi 7000 lecturas que tuvo estoy seguro que a más de uno le resolvió el problema.

Como la Seguridad en WordPress es una disciplina en constante renovación, ha llegado el momento de actualizar y aunque el plugin Move Login, es bueno, está escrito por un gurú como Julio Potier, experto en seguridad, toca darle la oportunidad a otras herramientas, y en esta ocasión va a ser con WPS Hide Login, escrito por Remy Perona, contribuidor de la comunidad de WordPress desde hace tiempo.

Con el plugin WPS Hide Login no vas a eliminar /wp-login.php o /wp-admin , pero si los vas a ocultar para que no sean visibles ni accesibles (ofuscación).

A partir de la instalación y configuración del plugin, los usuarios solo podrán acceder a áreas que requieran autenticación desde una url conocida previamente, que tu les facilites, de forma que los accesos clásicos al formulario de login no podrán ser utilizados.

Si tras probar el plugin ves que este no cumple tus expectativas o necesidades ¡no pasa nada!, lo desinstalas y todo volverá a estar como antes.

Instalación y configuración del plugin

Se trata de un plugin gratuito que puedes instalar desde el dashboard de WordPress, previa copia de seguridad ¡siempre! accediendo a Plugins, Añadir nuevo.

Utilizando la caja de búsquedas localiza el plugin WPS Hide Login, y una vez en pantalla haz clic en Instalar y posteriormente en Activar.

Auditando cambios en WordPress

Trabaja con multisitios y es compatible con el plugin de gestión de caché WP Rocket.

También es compatible con:

  • BuddyPress
  • bbPress
  • Limit Login Attempts
  • User Switching

Una vez activado el plugin accede a Ajustes, Generales y establece la palabra de paso que sustituirá al clásico:

/wp-login.php
/wp-admin

Configuración del plugin

Sobra decir que tendrás que tener memoria de elefante o una libreta a mano para anotarla, no serias el primero que conozco que instala un plugin con este tipo de funcionalidad y 5 minutos después se olvidó de la palabra de paso que puso y se quedó sin acceso, "nada grave", pero un pequeño incordio pues tendrás que renombrar la carpeta del plugin y volver a empezar.

Anota la palabra de paso o ruta de url que hayas escogido para sustituir a la que por defecto usa WordPress.

Si has hecho las cosas bien, cuando trates de acceder con tu dominio a la url de acceso al dashboard o al login de usuarios registrados, por ejemplo:

http://tu-dominio.com/wp-admin

Te encontrarás un hermoso 404 diciéndote que "naranjas de la china", vamos que te has equivocado, que /wp-admin o /wp-login.php no existen.


Prueba de acceso incorrecta

Si por el contrario pones la url de tu dominio con la palabra de paso establecida:

http://tu-dominio.com/que-bonitos-ojos-tienes

Lo propio es que accedas.


Prueba de acceso correcta

Vamos a verlo en detalle en el siguiente vídeo.




Los inicios de sesión relacionados con el formulario de registro, formulario de recuperación de contraseña perdida/olvidada, el widget de inicio de sesión y las sesiones expiradas seguirán funcionando con normalidad.

Si trabajas con plugins como WP Super Cache o W3 Total Cache, cuando instales el plugin WPS Hide Login verás un aviso con un enlace incluido que te indicará que campo debes actualizar.

No hace falta que te compliques la vida con plugins de mayor calado para aplicar medidas de protección al dashboard. Es verdad que hay muy buenas soluciones en formato de plugin que ayudan a elevar los niveles de seguridad de un sitio WordPress.

Si te alojas en un Hosting donde la seguridad sea una máxima y las medidas que apliquen formen parte de servicio de calidad que toda empresa de Hosting que se precie debe dar, seguramente ellos ya estarán haciendo su parte, segurizando los servidores para que nada malo suceda y tus días y noches sean tranquilos.

¿Quieres profundizar más en todo lo relacionado con la seguridad de tu sitio creado con WordPress?, puedes consultar alguno de los artículos que hemos publicado en el Blog de Webempresa:

...hay muchos más artículos que puedes consultar en la categoría de Seguridad WordPress de nuestro Blog.


Empieza 2016 con buen pie ¡refuerza la seguridad de tus instalaciones de WordPress! Amamos lo que hacemosWordPress


¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress, Joomla y PrestaShop



Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Google+


Plugin Optimización de Imágenes Gratuito para WordPress