En esta ocasión te explicaré como ocultar la url para el ingreso al backend de nuestro sitio hecho en WordPress, que es la zona administrativa de la web.
La url tradicional está compuesta normalmente por tu dominio / wp-admin o tu dominio / wp-login.php y aquí ingresando nuestros datos de usuario y contraseña ya accederíamos al backend.
WordPress es el CMS más usado en el mundo, pues gran parte de los sitios en internet están hechos en esta popular plataforma, sitios de compañías tan conocidas como el de rollingstones, Usain Bolt, Sony Music, Sylvester Stallone, y muchas más están creadas en WordPress tanto de grandes como pequeños empresarios. Y es por esto mismo que sufre en gran medida de ataques de fuerza bruta, es decir que se trata de ingresar por el formulario de acceso probando variaciones de claves hasta encontrar la correcta con la ayuda de un bot o scripts.
En la web existen muchas personas mal intencionadas que buscan apoderarse de sitios para fines personales, muchos de ellos lo hacen con este tipo de ataques de fuerza bruta.
Hagamos la prueba con la de rollingstons añadiendo wp-admin a la url, ahora con la de Usain Bolt, la de Sony Music y la de Sylvester Stallone, todas nos llevan al formulario de ingreso. Es probable que este tipo de sitios web cuenten con una infraestructura de seguridad robusta para la cual no sea necesario ocultar este formulario. Nosotros en Neotuto recomendamos cuidar cada detalle de la seguridad de tu sitio y este es un tip que te puede ayudar.
En este tutorial te explicaré como personalizar la url de la página de ingreso de tu sitio para evitar que personas inescrupulosas puedan tratar de atacarlo manualmente o con bots accediendo al formulario de la zona administrativa de este.
Lo primero es ingresar al backend con nuestro usuario y contraseña, una vez allí nos dirigimos a la sección Plugins. En esta ocasión vamos a usar un plugin, es importante que siempre que hagas cualquier cambio en el sitio, como instalar plugins realices previamente una copia de seguridad, para que en caso de algún inconveniente puedas restaurar nuevamente tu sitio, este es uno de los tips más importantes para la seguridad, si deseas saber cómo hacerlo en la descripción del video te dejamos el enlace al tutorial de como hacer copias de seguridad en WordPress.
Entonces damos clic en Añadir nuevo y en el buscador de plugins vamos a digitar wps hide login, este es un plugin que recomendamos mucho, es muy usado y cómo pueden ver tiene una bastante participación en las calificaciones con alta puntuación y muchas instalaciones también, lo que nos dice que es un plugin confiable, hecho por WPServeur.
Damos clic en Instalar ahora y esperamos a que se instale y luego damos clic en Activar. Ya tenemos nuestro plugin activado, vamos a darle clic en Ajustes. Nos dirigimos a la URL de acceso para personalizarla, pondré por ejemplo secret_admin. Aquí podríamos poner una url más compleja si lo deseamos.
En redirection url podemos poner la página a la que deseemos direccionar a quienes intenten ingresar por medio de wp-login.php o wp-admin, puede ser el home o incluso crear una página dirigida a quien nos está intentando hacer el ataque. Por defecto el nos lanza a una página 404, es decir, una página de error, en mi caso lo voy a dejar así. Damos clic en Guardar cambios.
Es importante que no olvides la url de acceso personalizada que creaste, ya que podrías quedarte sin la forma de volver a ingresar al backend de tu sitio. Más adelante les explicaré que podrán hacer en el caso de que olviden la url de ingreso.
Voy a salir del backend para hacer la prueba, y como podemos ver la url ya aparece con la personalización que le puse. Voy a ingresar al home del sitio, y ahora le voy a agregar
/ wp-admin y nos direcciona a una página de error 404. Ahora vamos a probar con wp-login.php vemos que también hace lo mismo. Encambio al usar nuestra url personalizada / secret_admin si nos lleva al formulario para acceder al backend del sitio.
¿En que casos no recomendamos el uso de este plugin? en sitios que son muy grandes con muchas conexiones externas o en los que algunos de los plugins instalados hacen uso del wp-login.php. Aunque se supone que este plugin hace que no se pierdan este tipo de conexiones, sin embargo para sitios en los que hay dos, tres o cuatro administradores, no tendría problema alguno y nos ayudaría a darle un poco más de seguridad al sitio.
Si volvemos al plugin, vamos a Ajustes, luego a Generales, podríamos cambiar la url de acceso en el momento que lo deseemos, es importante que todos los usuarios con rol de administrador conozcan esta url para poder acceder.
Dado el caso en que olvidemos la url de acceso, la forma más eficiente para volver a tener ingreso al backend es desactivando el plugin wps hide login a través de los archivos alojados en el hosting. Ingresamos entonces al panel administrativo de nuestro servidor, en este caso voy a hacerlo en Cpanel pero se puede hacer también por medio de una conexión FTP usando por ejemplo Filezilla. Estando aquí nos vamos a dirigir al Administrador de archivos, vamos a dar doble clic en el archivo public_html, que es en donde se encuentran todos los archivos de nuestro sitio. Allí vamos a buscar la carpeta wp-content ingresamos y luego vamos a la carpeta plugins. En este caso vemos pocos archivos ya que este es un sitio de prueba, pero normalmente podrías ver muchos más archivos. Aquí vamos a buscar el plugin WPS-Hide-Login, le vamos a dar clic y lo vamos a renombrar, le podemos agregar un 1 adelante o al final, yo le voy a poner .old para que quede inhabilitado, también si lo deseas podrías eliminarlo, pero lo recomendable es inhabilitarlo. Ahora voy a verificar ingresando con wp-admin, y efectivamente me da el ingreso.
Recuerda que este es un tip para mejorar la seguridad de tu sitio. Te invitamos a que sigas viendo más tips para WordPress en Neotuto y aprendas como tener tu web más profesional y segura.
En la descripción de este video podrás encontrar información detallada sobre este tema que espero que te haya sido de utilidad, si es así entonces dale like y recuerda subscribirte a nuestro canal NeoTuto. En caso de que tengas dudas déjanos tu comentario, nos encantará responderte.