Cómo Proteger el Inicio o Login de Wordpress?
Probablemente te estés preguntando por qué debería proteger el login de Wordpress si ya tengo un usuario y contraseña seguros. Si no te lo estás preguntando, debemos comenzar por esa parte.
¿Cómo poner un usuario y contraseña seguros para Wordpress?
Es importante tener un usuario y contraseña seguros ya que será una de las capas de seguridad para tu sitio web y para tu empresa.
En la mayoría de los casos, el nombre de usuario del administrador es "admin". Esto representa una vulnerabilidad potencial, ya que un atacante puede obtener esta información de manera sencilla al revisar ciertas páginas donde aparece el usuario como en artículos, en el código fuente o mediante el uso de herramientas específicas.
Al ser el usuario predeterminado, "admin" es el primer punto de entrada que los atacantes intentarán utilizar para acceder al sitio. Una vez que logran obtener este nombre de usuario, ya han dado un paso significativo hacia la ejecución de diversos tipos de ataques contra el sitio web.
¿Cómo cambiar el nombre de usuario del administrador en Wordpress?
El principal método para cambiar el usuario del administrador en WordPress:
- Desde el panel de administración:
- Accede a tu sitio web como administrador.
- Ve a Usuarios > Todos los usuarios.
- Haz clic en el nombre del usuario administrador.
- En la sección Nombre, edita el campo Apodo.
- Haz clic en Actualizar perfil.
Generar una contraseña segura
Afortunadamente, nosotros ya nos hemos adelantado en este paso y hemos realizado un generador de contraseñas seguras que podrás utilizar. Ocupamos un algoritmo para que no pueda haber ningún patrón que pueda hacerle la vida más fácil al atacante.
De igual forma, desde el panel de administración:
- Accede a tu sitio web como administrador.
- Ve a Usuarios > Todos los usuarios.
- Haz clic en el nombre del usuario administrador.
- En la sección Gestión de la cuenta, da click en Establecer nueva contraseña.
- Agrega tu contraseña.
- Da click en el botón de hasta abajo que dice Actualizar usuario.
Con estos dos sencillos pasos, habremos puesto una pequeña capa de seguridad. A partir de aquí pasaremos con el cambio de la url de ingreso a Wordpress.
Cambiar la URL de Acceso a Wordpress sin Plugins
A Wordpress le gusta facilitar las cosas a los usuarios y por lo tanto, pone por defecto la url de tudominio.com/wp-admin para ingresar al Wordpress de tu página. El problema con esto, es que también le facilitas el trabajo al atacante.
Si quieres ponérselo más difícil, puedes cambiar la url a /acceso, /ingresar, /entrada o cualquier otro nombre. Los atacantes normalmente van a atacar al más sencillo, por lo que si comienzas a ponerles más difícil las cosas básicas, preferirán irse a otro sitio.
Este cambio, puedes realizarlo entrando al .htaccess o al web-config. Esto será dependiendo del SO. Ingresa a tu FTP y abre el archivo.
Si es .htaccess escribe la siguiente línea:
RewriteRule ^entrar$ http://tudominio.com/wp-login.php [NC,L]Si es web-config, se verá algo así:
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Cambiar URL de inicio de sesión">
<match url="^entrar$" />
<action type="Rewrite" url="/wp-login.php" />
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
Cambiar la URL de Acceso a Wordpress con Plugins
Puedes implementar el plugin WPS Hide Login. Seguramente habrá muchos más plugins que te permitan realizar ese cambio pero nosotros te lo mostramos con WPS. Suele ser el que todos recomendamos.
Al activarlo, deberás ingresar a:
- Ve a Ajustes > Generales.
- Ir hasta la parte de abajo donde dice WPS Hide Login.
- En la sección URL de acceso, editar el campo por el nombre que tendrá el acceso ya sea ingresar, acceder, etc
- Da click en el botón de hasta abajo que dice Guardar cambios.
Utilizar un 2FA en Wordpress
La autenticación de doble factor (2FA) es una capa adicional de seguridad que requiere que los usuarios proporcionen dos formas de verificación antes de acceder a su cuenta.
En WordPress, esto significa que, además de ingresar un nombre de usuario y contraseña, los usuarios también deben proporcionar un segundo factor de autenticación, como un código generado por una aplicación móvil o un mensaje de texto.
Hay varios plugins con los que puedes realizar esto, algunos de ellos son:
- Google Authenticator – WordPress Two Factor Authentication
- WP 2FA
- Two Factor Authentication
- Wordfence Login Security
Si quieres saber más sobre 2FA, contamos con un artículo donde hablamos sobre como puedes Proteger el acceso al Administrador de WordPress con 2FA.
Como puedes observar, hay varias formas muy sencillas de mejorar la seguridad de nuestro Wordpress. Estas medidas no deben tomar mucho tiempo y solo se realizan una vez. Tomando en cuenta estas precauciones, podremos estar más seguros de los ataques.
