Si ya tengo un nombre de usuario y una contraseña segura, ¿por qué debo proteger el acceso a WordPress?
Cuando se habla de la necesidad de proteger el directorio /wp-admin, esta es sin duda una de las preguntas más frecuentes. Cualquier atacante tiene como objetivo principal acceder al backend de una web y tomar el control de la misma. Los bots pueden hacer esto, ya que prueban numerosos nombres de usuario y contraseñas hasta descifrar los datos de acceso.
Para evitar que esto suceda, primero debes usar un nombre de usuario diferente al de admin, que es el predeterminado de WordPress, pero hay otras precauciones de seguridad que debes tomar. ¿Observemos los detalles?
Formas para proteger el acceso a WordPress
Existe una variedad de métodos para proteger el acceso a WordPress, pero cualquiera que elijas, siempre será una buena decisión que hayas optado por agregar una capa de seguridad adicional a tu sitio web para que los usuarios malintencionados no puedan acceder.
1. Modificar la URL de acceso a WordPress
WordPress te proporciona por defecto una URL de acceso similar a la siguiente: www.misitioweb.com/wp-admin/. Introduces tus credenciales de WordPress a través de esta URL y ¡listo! Ya tienes acceso al núcleo detrás de WordPress.
Modifica esta URL por una personalizada si deseas dificultar la tarea de los atacantes. Por ejemplo, para acceder a WordPress, puedes sustituir /wp-admin por /acceso, /entrada o cualquier otro nombre que se te ocurra.
Puedes realizar este cambio modificando el archivo .htaccess o utilizando un plugin. Explicamos las dos opciones:
Realizar cambios en el archivo .htaccess:
Aunque no tengas mucha experiencia técnica, modificar el archivo .htaccess no será difícil. Solo debes acceder al archivo .htaccess a través del Administrador de archivos de tu servidor y agregar la siguiente línea de código:
RewriteRule ^ingresar$ http://misitioweb.com/wp-login.php [NC,L]
Importante: Sustituye la palabra «ingresar» por la que deseas utilizar para acceder al backend de WordPress y el nombre de tu web por «misitioweb.com». Una vez que lo hayas establecido, guárdalo.
Realizar el cambio con un plugin:
Seguramente encontrarás muchos más recursos en el repositorio de WordPress que te permitirán llevar a cabo este cambio. Esta guía muestra cómo hacerlo con WPS Hide Login.
Video Tutorial:
Después de instalar y activar el plugin, automáticamente crea una nueva url para acceder a WordPress que se asemeja a www.misitioweb.com/login/, la cual puedes cambiar según tus preferencias, como se muestra en la siguiente imagen:
¡Está listo! Podrás cambiar fácilmente la URL de acceso a WordPress modificando el archivo .htaccess o utilizando el plugin.
2. Configurar el 2FA en WordPress
Cualquier usuario que ingrese a WordPress debe ingresar su nombre de usuario y contraseña a través del doble factor de autenticación, también conocido como 2FA. Si estos datos son correctos, se encontrará una doble verificación. Después de eso, debes agregar algo adicional para acceder al backend.
Tienes una gran cantidad de plugins 2FA en el repositorio oficial de WordPress. He probado muchos de ellos, y te sugiero que pruebes uno de estos cinco:
- Wordfence Login Security
- WP 2FA
- Google Authenticator – WordPress Two Factor Authentication
- Two Factor Authentication
- Duo Two-Factor Authentication
Si ya usa un complemento de seguridad como Wordfence o iThemes Security, ya está en la configuración del plugin y no necesitas instalar otro complemento.
3. Use un sistema de Captcha
Estoy seguro de que estás muy acostumbrado a tener que probar que «no eres un robot» cuando te registras en una página, escribes un comentario o regeneras una contraseña.
Estos sistemas de CAPTCHA de WordPress son útiles porque impiden que los bots intenten acceder a tu sitio web en gran cantidad. Un ser humano no podría realizar tantos intentos seguidos y en tan poco tiempo. Por lo tanto, si le pedimos que haga una pequeña operación matemática antes de comprobar la validez de las credenciales, escriba la palabra que ve en la imagen o seleccione una fotografía específica, las cosas cambiarán ¡y mucho!
Es una excelente manera de implementar una doble autenticación en WordPress porque un robot no puede hacerlo. Por ejemplo, siguiendo estos pasos con el plugin Advanced Google reCAPTCHA, puedes hacerlo fácilmente:
- Instala y activa el plugin en tu sitio.
- Observa que se ha creado una nueva sección llamada «Advanced Google reCAPTCHA» en la columna de la izquierda, dentro de Ajustes.
- En la pestaña de Captcha, podrás elegir el tipo de captcha y la ubicación para utilizar este sistema de seguridad.
Según el método de captcha seleccionado, es posible que necesites adquirir gratuitamente tus claves secretas de Google reCaptcha a través de su sitio oficial.
Conclusiones
Hay varias formas de proteger el wp-admin o el acceso de WordPress, como puedes ver. Te acabo de presentar tres opciones excelentes para hacerlo que no son excluyentes entre sí y que puedes configurar en unos minutos. Será una buena manera de proteger tu web y todo tu trabajo de los hackers.
Recuerda que en DonWeb contamos con planes de WordPress optimizados en velocidad con tecnología de LiteSpeed. Te invitamos a conocerlos haciendo clic aquí.