Las contraseñas fuertes y únicas pueden ayudar a prevenir el acceso no autorizado al sitio web de WordPress de tu pequeña empresa.
Sin embargo, los atacantes tienen varias maneras ingeniosas de eludirlas.
Al igual que los niños implacables que parecen superar cada táctica de seguridad que implementas, los actores maliciosos saben cómo llevar a cabo ataques de fuerza bruta y encontrar puertas traseras a través de plugins menos seguros.
Y, voilà, están dentro de tu sitio robando datos más rápido de lo que un niño pequeño puede abrir y vaciar cada cajón de tu cocina (es decir, increíblemente rápido).
En otras palabras, las contraseñas a menudo no son suficientes para proteger adecuadamente tu sitio contra ataques.
Afortunadamente, hay una cosa relativamente simple que puedes hacer para reducir el riesgo de que los hackers entren en tu sitio: mover la página de inicio de sesión de WordPress a una nueva URL. Esto te pondrá en una mejor posición para defenderte contra hackeos y ataques.
Si no estás muy familiarizado con WordPress, esto probablemente no tendrá mucho sentido. Por eso, este artículo analizará más de cerca por qué deberías considerar cambiar la URL de inicio de sesión de WordPress, cómo encontrar tu URL de inicio de sesión si la has perdido de vista y, lo más importante, algunas maneras de modificarla para aumentar la seguridad.
Y si te quedas hasta el final, también incluiremos una lista de consejos adicionales para fortalecer aún más la seguridad de tu WordPress.
¡Vamos a asegurar!
Por Qué Deberías Actualizar la URL de Inicio de Sesión de WordPress
Dado que WordPress no oculta tu página de inicio de sesión, cualquier usuario puede encontrarla siempre que sepa cómo WordPress estructura sus URL. Considerando que WordPress alimenta cerca de la mitad de todos los sitios web en Internet, es seguro asumir que muchas personas, especialmente aquellas que saben cómo explotar sitios web, están muy familiarizadas con el diseño común de WordPress.
La estructura predeterminada para una página de inicio de sesión suele verse algo así:
https://ejemplo.com/wp-login.php
Esto significa que cuando un usuario introduce la URL de tu sitio web donde dice “https://ejemplo.com/”, debería ver una página en su navegador que le pide iniciar sesión en el backend de tu sitio web:
Por supuesto, la mayoría de los hackers probablemente no tendrán las credenciales de inicio de sesión que necesitan. Sin embargo, esta estructura sigue siendo arriesgada si tu contraseña es común, débil o fácil de adivinar. Algo como 123456.
En pocas palabras, es una solución fácil para una vulnerabilidad innecesaria.
Por simplicidad, muchas personas prefieren quedarse con esta estructura predeterminada de wp-login para iniciar sesión en WordPress, pero dejarlo tal como está facilita el acceso de los hackers a tu área de inicio de sesión, lo cual es como hacer la mitad de su trabajo por ellos.
WPScan encontró que WordPress tiene actualmente más de 50,000 vulnerabilidades en 2024. La gran mayoría se encuentra en los plugins de WordPress, y cada año se descubren cientos, si no miles más.
En resumen, es hora de fortalecer la seguridad de tu sitio web.
Una forma alcanzable de hacerlo es cambiar la URL de inicio de sesión de WordPress para prevenir el acceso no autorizado a tu sitio y reducir el riesgo de ataques de fuerza bruta.
Así es Cómo Encontrar la Página de Inicio de Sesión Predeterminada de WordPress
Mira, sabemos que tienes muchas cosas en marcha. Cuando tienes un millón de tareas como propietario de una pequeña empresa, perder la pista de tu URL de inicio de sesión de WordPress no es poco común.
Como mencionamos en la sección anterior, WordPress utiliza una estructura de enlace de inicio de sesión estándar que se ve algo así:
https://ejemplo.com/wp-login.php
Así que, todo lo que tienes que hacer es agregar el sufijo (esta parte: wp-login.php) a tu dominio, y deberías llegar a tu página de inicio de sesión.
También puedes encontrar tu página de inicio de sesión intentando acceder a tu panel de WordPress mientras estás desconectado. Simplemente, ingresa “tuwebsite.com/admin” o “tuwebsite.com/login” en la barra de búsqueda y deberías llegar a la misma página de inicio de sesión.
¿No funciona? No entres en pánico.
Algunos proveedores de alojamiento cambian automáticamente tu página de inicio de sesión de WordPress por razones de seguridad. Así que podrías ya tener una URL de inicio de sesión personalizada. Si es así, te mostraremos cómo encontrarla ahora mismo.
¿URL de Inicio de Sesión Personalizada? Aquí te mostramos cómo localizarla
Si tu proveedor de alojamiento ha cambiado tu enlace de inicio de sesión, generalmente puedes localizarlo dentro de tu panel de control después de iniciar sesión en tu cuenta de alojamiento.
Sin embargo, si no puedes identificar tu URL de inicio de sesión personalizada allí, aún puedes localizarla manualmente conectándote a tu sitio utilizando un cliente SFTP como FileZilla.
Es posible que puedas encontrar las credenciales para hacerlo en tu cuenta de alojamiento o preguntar a tu proveedor de alojamiento web por los detalles.
Después de instalar el cliente y conectarte utilizando esas credenciales, deberías llegar a una página que se vea algo así:
Encuentra la carpeta raíz etiquetada como public_html (puedes verla arriba, en el lado derecho de la pantalla) y haz clic en ella para localizar el archivo wp-config.php. Si no puedes encontrarlo como public_html, puede que esté listado como el nombre de tu dominio.
Abre este archivo en tu computadora utilizando un editor de texto como Visual Studio Code. Es mejor usar una opción que ofrezca una herramienta de búsqueda y reemplazo. Utiliza esa herramienta para encontrar una cadena de código que contenga site_url; esto te llevará a tu URL de inicio de sesión personalizada.
¡Boom, lo has encontrado! Con eso solucionado, actualicemos esta URL para mejorar la seguridad.
2 Estrategias para Cambiar tu URL de Inicio de Sesión de WordPress
Ahora que sabes dónde encontrar la URL de inicio de sesión de WordPress, echemos un vistazo a dos formas fáciles de cambiarla.
Método 1: Mejora tu URL de Inicio de Sesión de WordPress con un Plugin
La forma más fácil de cambiar tu URL de inicio de sesión es utilizando un plugin de WordPress. Afortunadamente, hay muchos disponibles para facilitar esto.
WPS Hide Login es una excelente opción, ya que es ligero y te permite cambiar de forma segura la página de inicio de sesión de administrador de WordPress a lo que desees. Mejor aún, WPS Hide Login también impide que todos los usuarios desconectados accedan al directorio wp-admin y a wp-login.php.
Para comenzar, necesitarás instalar y activar el plugin yendo a tu área de administración de WordPress. Haz clic en Plugins > Añadir nuevo plugin.
Busca “WPS Hide Login” y haz clic en el botón Instalar ahora. Permanece en esta página hasta que la instalación esté completa y luego utiliza el botón Activar.
Una vez activado, en la barra lateral de tu administración de WordPress, dirígete a Configuración > WPS Hide Login.
Verás que puedes crear una nueva URL de inicio de sesión. Escribe lo que desees y haz clic en Guardar cambios.
Es así de simple.
Ten en cuenta que, una vez que este plugin esté activo y hagas tus cambios, usar la nueva URL será la única forma de acceder a la pantalla de inicio de sesión de tu sitio. Así que no pierdas esta URL. ¡Y no la compartas públicamente ni con nadie que no la necesite absolutamente!
Además, recuerda que tu sitio volverá a usar wp-admin y wp-login.php si desactivas este plugin.
Método 2: Actualiza tu URL de Inicio de Sesión de WordPress Editando tu Archivo wp-login.php
Este segundo método es un poco más complicado y, lo más probable, es más adecuado para usuarios experimentados. Por lo tanto, antes de comenzar con los siguientes pasos, es mejor hacer una copia de seguridad fresca de tu sitio de WordPress por si algo sale mal.
También es importante saber que tus cambios pueden revertir a su configuración anterior cuando actualices tu tema. Si deseas evitar este problema, aprende a usar un tema hijo de WordPress.
Ahora, ¡vamos a sumergirnos!
Necesitarás acceder a los archivos de tu sitio, como hicimos anteriormente al rastrear tu URL de inicio de sesión personalizada. Podrás hacerlo a través del panel de administración de tu proveedor de alojamiento web o mediante SFTP.
Si es lo último, usa tus credenciales para conectarte a tu sitio a través del cliente SFTP de tu elección y, nuevamente, localiza el archivo public_html (de nuevo, podría estar listado como el nombre de tu dominio). Dentro, encuentra la carpeta wp-login.php. El código detrás de la página de inicio de sesión de tu sitio reside aquí.
Abre el archivo usando tu editor de texto nuevamente.
Utiliza la herramienta de búsqueda para encontrar cada instancia de wp_login_url, que se verá algo así:
Las cadenas que siguen a wp_login_url contendrán tu URL de inicio de sesión actual. Cambia cada una a la nueva URL de inicio de sesión que te gustaría usar.
Recuerda, puedes mantenerlo simple siempre que sea original (y diferente de la predeterminada). Por ejemplo, podrías preferir algo como “access.php” o “wp-new-login”.
Una vez que estés satisfecho con tus cambios, guárdalos y cierra el editor. Luego, renombra el archivo con la nueva URL que elegiste (como “access.php”).
Nota: Técnicamente, puedes nombrar el archivo como desees, pero es más fácil de rastrear y recordar si lo nombras según la nueva URL que planeas usar.
Arrastra el archivo desde tu escritorio al archivo public_html.
Ahora, puedes subir el nuevo archivo a tu directorio raíz usando tu cliente FTP o el administrador de archivos de tu proveedor de alojamiento web. Te mostraremos cómo hacerlo usando el hook de filtro “login_url” de WordPress.
Comienza navegando a wp-content > themes, selecciona tu tema activo y abre el archivo functions.php (preferiblemente bajo un tema hijo). Esto le indica a WordPress dónde “vive” el nuevo archivo de inicio de sesión.
Aquí, puedes pegar la siguiente línea de código en el archivo:
/*
*Change WP Login file URL using “login_url” filter hook
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}
Reemplaza wp-tu-nuevo-archivo-inicio-sesion con el nombre del archivo que acabas de crear. Luego, guarda tus cambios y prueba tu nuevo inicio de sesión.
Necesitarás escribir el dominio de tu sitio con tu nueva URL de inicio de sesión al final.
Por ejemplo: “https://example.com/access.php.”
Si puedes acceder a la página de inicio de sesión de tu sitio de WordPress, ¡ha funcionado!
Y ahora, puedes eliminar el archivo original wp-login.php, porque el nuevo archivo que has agregado lo ha reemplazado.
Algo a recordar: una vez que hayas actualizado tu página de inicio de sesión, necesitas actualizar las páginas que hacen referencia al archivo wp-login.php que acabamos de eliminar. Específicamente, necesitas actualizar el filtro logout_url y el filtro lostpassword_url.
4 Maneras Más de Asegurar el Proceso de Inicio de Sesión de WordPress
Cambiar la URL de inicio de sesión de WordPress es excelente para reforzar la seguridad de tu sitio. Sin embargo, no es lo único que puedes hacer.
Aquí hay algunas maneras adicionales de asegurar aún más el proceso de inicio de sesión de WordPress:
1. Limitar los Intentos de Inicio de Sesión
Cuando limitas los intentos de inicio de sesión, puedes detener a los hackers y bots que intentan acceder a tu sitio probando cientos de nombres de usuario y contraseñas. En otras palabras, un ataque de fuerza bruta.
La forma más fácil de hacer esto es utilizando un plugin como Limit Login Attempts Reloaded.
Este plugin comienza a funcionar tan pronto como se activa en tu sitio. Por defecto, los usuarios tienen cuatro oportunidades para iniciar sesión antes de ser bloqueados de WordPress.
Sin embargo, puedes jugar con la configuración, cambiando el número de reintentos, la duración de los bloqueos y más. El panel de administración del plugin puede mostrarte cuántos ataques de fuerza bruta han sido bloqueados por el plugin.
Y en la pestaña “Logs”, incluso puedes bloquear manualmente direcciones IP específicas.
2. Implementa la Autenticación de Dos Factores (2FA)
La 2FA es una de las características de seguridad más utilizadas que implementan los usuarios de WordPress.
En este proceso, los usuarios deben enviar más que solo sus credenciales de inicio de sesión. Antes de iniciar sesión, los usuarios también deben generar una segunda credencial. Esto suele ser un código enviado por mensaje de texto, correo electrónico o una aplicación.
Dado que los bots y los hackers no pueden producir la segunda credencial requerida, esta es una excelente manera de prevenir el acceso no autorizado a tu sitio. Una de las mejores maneras de agregar esta funcionalidad a tu sitio es utilizando un plugin como miniOrange.
Una vez activado, dirígete al nuevo enlace de dos factores de miniOrange en la barra lateral de administración de WordPress > Mi Cuenta.
Aquí, deberás registrarte para obtener una cuenta. Luego, recibirás un código que te permitirá verificar tu correo electrónico.
A continuación, te recomendamos seguir el “Asistente de Configuración” útil del plugin para asegurarte de que la 2FA esté completamente configurada para cualquier persona que use tu sitio.
3. Usa CAPTCHA
CAPTCHA o reCAPTCHA de Google proporciona una capa adicional de seguridad para tu sitio web.
Normalmente, se utiliza para controlar el acceso a páginas sensibles. ¿Y lo mejor? Esto puede prevenir que los bots creen spam o accedan a información personal en tu sitio web a través de formularios de pedido o formularios de inicio de sesión.
Una vez más, un plugin es la forma más fácil de habilitar esta funcionalidad en tu sitio. En nuestra guía sobre reCAPTCHA, te guiamos a través de cómo configurarlo a través de un plugin en solo seis pasos.
Si prefieres hacerlo manualmente, ¡también es una opción!
4. Imponer Contraseñas Fuertes
Por supuesto, cambiar la URL de inicio de sesión de tu sitio de WordPress es una gran idea, para que no uses el sufijo “admin”, que es fácil de adivinar. Sin embargo, tus esfuerzos son en vano si continúas utilizando contraseñas débiles o repetidas que ponen tu cuenta en un mayor riesgo de ataque.
Solo el 13% de las personas utilizan un generador de contraseñas para crear frases únicas y altamente seguras para diferentes sitios web. La mayoría, en cambio, utiliza números y palabras que son significativas para ellos, lo que las hace más obvias para los hackers.
Recomendamos usar Solid Security, un plugin de WordPress que puede incentivar a los usuarios a utilizar contraseñas fuertes. Si te preocupa que una contraseña sea parte de una violación de datos, también puedes usar Passwords Evolved, que envía una alerta si alguna contraseña de usuario se ve comprometida.
En este momento, es mejor restablecer tu contraseña en WordPress si se ha reutilizado o es fácil de adivinar. En el futuro, opta por contraseñas largas que combinen letras mayúsculas y minúsculas con números y caracteres especiales. También recomendaríamos utilizar un administrador de contraseñas como 1Password para mayor tranquilidad.
Además, es importante fomentar contraseñas fuertes de los usuarios con acceso a tu sitio web. Puedes aclarar esto en el correo electrónico de bienvenida que los usuarios reciben al registrarse en tu sitio.
Bonificación: Aún Más Consejos para Mejorar la Seguridad de WordPress
Como el sistema de gestión de contenido (CMS) más popular en el mercado, WordPress es comprensiblemente uno de los más atacados con frecuencia.
No decimos esto para asustarte y que dejes de usarlo, sino simplemente para hacerte consciente de la importancia de asegurar tu sitio de WordPress en todos los frentes.
Para una seguridad general más allá de la fase de inicio de sesión, recomendamos otro potente plugin para automatizar el proceso: Jetpack.
Asegurarte de que tu certificado SSL/TLS esté actualizado es la mejor manera de garantizar que los datos importantes de tu sitio y de los usuarios estén cifrados. Esto a menudo tiene un impacto positivo en la optimización de motores de búsqueda (SEO) de tu sitio web también.
Aprende a usar el plugin Really Simple SSL para WordPress aquí.
¿Te sientes listo para profundizar aún más en la seguridad de WordPress? Consulta nuestra guía sobre Todo lo que Necesitas Saber Sobre la Seguridad de WordPress para obtener aún más métodos para reforzar tu sitio web.
Construye un Negocio Impenetrable con el Mejor Hosting de WordPress
¿Una forma final, pero excelente, de reforzar la seguridad de tu WordPress para siempre?
Colaborar con un proveedor de alojamiento web experimentado y comprometido.
En DreamHost, ofrecemos una gama de soluciones para adaptarse a todo tipo de usuarios, sitios web y necesidades de seguridad.
Nuestros paquetes de alojamiento de WordPress gestionado son ideales para propietarios y operadores de pequeñas empresas que prefieren un enfoque sin complicaciones, y nuestras opciones de alojamiento VPS gestionado son perfectas para cuando estés listo para escalar.¡Explora todos nuestros planes de alojamiento para elegir el que mejor se adapte a ti! Y mientras estás en ello, echa un vistazo a DreamCare para obtener monitoreo, informes y mantenimiento de seguridad profesional, así podrás tachar eso de tu lista de tareas empresariales.
Protege tu Sitio Web con DreamShield
Nuestro complemento de seguridad premium escanea tu sitio semanalmente para garantizar que esté libre de código malicioso.
Habilitar DreamShieldEsta página contiene enlaces de afiliados. Esto significa que podemos ganar una comisión si compras servicios a través de nuestro enlace, sin ningún costo adicional para ti.
