WordPress es el CMS más popular y experimenta innumerables intentos de inicio de sesión maliciosos todos los días. Es bastante fácil para los piratas informáticos adivinar su ID de inicio de sesión y contraseña, especialmente si utiliza detalles similares para la mayoría de sus inicios de sesión. Usando herramientas simples de fuerza bruta, los piratas informáticos pueden bloquear todo su sitio web con facilidad haciendo clic en él varias veces para adivinar su contraseña de inicio de sesión.

¿Por qué darles la oportunidad de intentarlo cuando puedes esconderte …

Sabiéndolo o no, su sitio web es un imán para los piratas informáticos que intentan irrumpir en su sitio web y procesa esos intentos maliciosos todos los días. Sin embargo, no tiene que darles esta oportunidad a los piratas informáticos, mientras que unos simples pasos pueden ocultar su página de inicio de sesión de WP.

En este artículo, voy a desglosar los dos métodos simples para evitar que los piratas informáticos y los bots maliciosos entren en su sitio web. Intentaré hacerlo lo más simple posible para que puedas entender cómo hacerlo.

En este artículo aprenderá:

Dos formas de evitar intentos de inicio de sesión maliciosos:

  1. Cambie su URL de inicio de sesión de WordPress
  2. Ocultar su administrador de wp y la página de inicio de sesión de wp

1. Cambie su URL de inicio de sesión de WordPress

Es fácil ver si su sitio web es compatible con WordPress o no. Una vez que un pirata informático ve que su sitio web funciona con WordPress, será bastante fácil para ellos encontrar su URL de inicio de sesión. La página de inicio de sesión estándar de WordPress se puede encontrar ingresando su nombre de dominio seguido de /wp-login.php.

La mayoría de los propietarios de sitios web no cambian su nombre de usuario después de configurar un blog desde su nombre de usuario predeterminado, que es [admin].

Cambie su URL de inicio de sesión de WordPress

Lea también, Cómo cambiar el nombre de usuario del administrador de WordPress

Con suficiente tráfico en su sitio web, los piratas informáticos pueden obtener fácilmente su contraseña correcta, ya que el resto de los detalles ya están proporcionados. Para evitar que los piratas informáticos y los bots maliciosos lleguen a la página de inicio de sesión de su sitio web, lo mejor que puede hacer es cambiar su URL de inicio de sesión de algo obvio a algo impredecible.

Es posible que cambiar la URL de inicio de sesión de WordPress no impida que los piratas informáticos entren en su sitio web, pero definitivamente evitará visitantes maliciosos y bots aleatorios que lleguen a la página de inicio de sesión de su sitio web. Una opción es instalar WordPress en un subdirectorio. Antes de mover una instalación existente, asegúrese de realizar una copia de seguridad completa de su sitio y guardarla en una ubicación donde no la borre o modifique accidentalmente.

En lugar de elegir nombres predecibles como http://example.com/wordpress o http://example.com/wp, elija un nombre único y no tan obvio como http://example.com/wpid.

2. Ocultar la página de inicio de sesión de su sitio

El siguiente paso lógico para mejorar su seguridad es ocultar su página de inicio de sesión de los piratas informáticos y bots maliciosos. Si su sitio web está diseñado para ser más fácil de encontrar e iniciar sesión para varios usuarios, es mejor ver este paso con precaución.

No recomendamos utilizar las estrategias que se indican a continuación si su sitio es un sitio de membresía y los intentos de inicio de sesión están abiertos a una gran cantidad de usuarios.

Hay dos formas básicas de ocultar la página de inicio de sesión de su sitio web:

  1. Usar complementos
  2. Uso del archivo wp-login.php (sin complementos)

1) Ocultar la página de inicio de sesión con un complemento

WordPress ofrece una serie de complementos que puede utilizar para ocultar la URL de su página de inicio de sesión. Algunos de los complementos también le permiten ocultar la página de inicio de sesión de su sitio web y redirigir a los usuarios de wp-login.php a otra página de su sitio web. Visite el directorio de complementos de WordPress.org y busque “Ocultar inicio de sesión de WP” para ver una lista de complementos de seguridad que puede utilizar.

Aquí hay una lista de complementos que se pueden usar para este propósito:

Una vez que haya descargado e instalado un complemento, actívelo. Los diferentes complementos tienen diferentes métodos para ocultar el inicio de sesión.

Uso del complemento “WPS Hide Login”

WPS Hide Login es uno de los mejores complementos para ocultar su página de inicio de sesión de WordPress que le permite proporcionar una nueva URL de inicio de sesión personalizada y bloquear todo el tráfico a las páginas estándar de wp-admin y wp-login. Es la forma más rápida y sucia, ya que lleva unos dos segundos bastante buenos para configurar.

Todo lo que tiene que hacer es proporcionar su nueva URL de inicio de sesión yendo a Configuración -> Ocultar inicio de sesión de WPS y el complemento se encargará del resto.

Ocultar su página de inicio de sesión de WordPress

Uso del complemento “Defender”

Defender funciona de manera un poco diferente en términos de interfaz de usuario, pero utiliza prácticamente el mismo método. Una vez que active el complemento y complete la configuración, puede acceder a las opciones de herramientas avanzadas utilizando el complemento Defender.

Siga los sencillos pasos para ocultar su URL de inicio de sesión:

  1. En la sección Máscara de URL de la pantalla de la Herramienta avanzada, puede ingresar una nueva barra de URL en la que los usuarios de su sitio iniciarán sesión o se registrarán en su sitio.
  2. Guarde sus cambios y cierre la sesión de su sitio de WordPress.
  3. Ahora inicie sesión nuevamente usando la página de inicio de sesión estándar en yourdomain.com/wp-login.php. Verá que Defender bloquea a los usuarios que no tienen acceso a la URL enmascarada. Cualquiera que intente visitar la página de inicio de sesión predeterminada de WordPress (es decir, wp-login.php) recibirá un mensaje de error (“Esta función está desactivada”). Los usuarios que tienen acceso a la URL enmascarada solo pueden acceder a la página de inicio de sesión.

Redirigir a los usuarios a otra página de su sitio web

Los complementos también tienen una función de redireccionamiento de tráfico que se puede utilizar para redirigir a los visitantes a otra página de su sitio web. Puede hacerlo volviendo a la pantalla de herramientas avanzadas del defensor. Habilite la redirección 404 en la sección Redirigir tráfico, ingrese la barra de la página a la que desea redirigir a los visitantes y haga clic en Guardar cambios para actualizar su configuración.

2) Oculte su URL de inicio de sesión sin un complemento

Puede ocultar fácilmente su página de inicio de sesión de los piratas informáticos sin utilizar un complemento. Esto se puede hacer con sus archivos de instalación y su editor de texto.

  1. Lo mejor que puede hacer es hacer una copia de seguridad de su archivo wp-login.php. Evita el daño que causa durante la edición. Cuando haya terminado, abra su archivo wp-login.php y copie todo en su portapapeles.
  2. Crea un nuevo archivo con tu editor de texto. Pegue el código de su archivo wp-login.php existente en su nuevo archivo y guárdelo. Alternativamente, abra su archivo wp-login.php y ‘guarde como’ su nuevo nombre de archivo.
  3. Busque y reemplace cada instancia de ‘wp-login.php’ en el código con su nuevo nombre de archivo de inicio de sesión. Guarde el archivo nuevamente.
  4. Inicie sesión en su servidor y cargue el nuevo archivo de inicio de sesión en la carpeta raíz o directorio donde instaló WordPress. Elimina el archivo wp-login.php original de tu servidor.
  5. Prueba la URL de tu nueva página de inicio de sesión. Cualquiera que visite la página estándar wp-login.php obtendrá un error.

Conclusión

Es mejor que coloque múltiples barreras de seguridad en su sitio de WP para dificultar que los piratas informáticos entren en su sitio. Comprender e implementar diversas prácticas de seguridad de WP es clave para proteger su sitio web de ataques de fuerza bruta y piratas informáticos.

Asegúrese de que la estrategia de ocultar su URL sea parte de su estrategia de seguridad más amplia. Simplemente ocultar la URL no siempre es efectivo, por lo que es mejor seguir esta guía y cambiar su URL y configurar una redirección para visitantes no deseados desde su página de inicio de sesión de wp. A menos que sea un experto en codificación y no sepa lo que está haciendo, lo mejor que puede hacer es no perder el tiempo con los códigos y usar un complemento.

También lea,