Cómo cambiar o proteger la URL de wp-admin en WordPress

• 11 junio 2020
• por: WNPower
• en: WordPress

Mantener seguro tu WordPress es parte de la rutina, y proteger bloqueando el acceso a wp-admin no debe ser pasado por alto. Es por eso que creamos este artículo de manera que puedas aprender a bloquear al público el acceso al panel administrador de WordPress.

A partir de que apliques estos cambios que vamos a contarte ahora mismo, solo tú y/o tus colaboradores tendrán acceso a wp-admin. Esto es importante tanto para proteger tu sitio web de ataques de ingreso por fuerza bruta al administrador, como para evadir visitas indeseadas a tu pantalla de login. En esta nota vamos a darte 2 alternativas para que puedas aplicar: una avanzada manipulando el archivo .htaccess y otra, bastante más fácil usando un plugin para ocultarlo sin demasiadas complicaciones.

 

La URL wp-admin, wp-login.php o admin-ajax.php está consumiendo demasiado en tu hosting

Es posible que hayas llegado a esta nota por curioso. Si es así, bienvenido y es genial que estés buscando información y mejoras de forma proactiva. Pero si por el contrario llegaste aquí porque tu hosting te informa que tu WordPress está consumiendo más recursos de la cuenta, y puntualmente esto se produce en las URL de wp-admin, wp-login.php o admin-ajax.php, lo más probable es que estés siendo blanco de un ataque de ingreso por fuerza bruta, o un ataque para anegar el acceso a tu sitio web.

¡Manos a la obra y vamos a bloquear el acceso al público de WordPress wp-admin!

 

Bloquear o cambiar la URL del wp-admin de WordPress con un plugin

Entre varios plugins o complementos de WordPress que probamos para bloquear o cambiar la URL del wp-admin, podemos recomendarte WPS Hide Login. Este plugin oculta muy fácilmente la dirección web del administrador de WordPress sin demasiados pasos de por medio.

Entre las bondades que encontrarás, este plugin literalmente no hace cambios en el core, sino que trabaja interceptando las solicitudes web a wp-admin y enviándolas a un error típico 404. El directorio wp-admin y la página wp-login.php se vuelven inaccesibles, y solo podrás ingresar recordando la dirección web que definas. Lo bueno aquí es que si olvidas la URL personalizada de tu admin podrás volver atrás deshabilitando el plugin.

WPS Hide Login es compatible con WordPress Multisite, el plugin WP Rocket, que suele traer a veces algunos problemas, con bbPress y BuddyPress.

En WNPower hacemos las cosas más fáciles. ¿Ya sabías que con WNPower puedes activar o desactivar tus plugins, actualizar WordPress, themes y complementos, y mucho más desde nuestra herramienta WordPress Doctor? Descubre más acerca de WordPress Doctor aquí.

 

Dentro de tu admin de WordPress ingresa a la sección de plugins y busca WPS Hide Login. Luego instálalo y actívalo como lo haces regularmente con cualquier otro plugin.

 

 

Ahora ingresa dentro de los ajustes del plugin.

 

 

Luego, escribe la nueva URL que quieras comenzar a utilizar en tu WordPress wp-admin y guarda los cambios.

 

 

¡TIP! Utiliza un nombre poco obvio, por ejemplo, tu nombre propio con algún caracter agregado, una serie combinada de letras y números, o un nombre que te agrade. Ponte creativo. Solo ten en cuenta de tomar nota de la URL para que luego no te quedes fuera 😉

 

Si has hecho las cosas bien, cierra la sesión, cierra el navegador, y cuando quieras acceder a https://tudominio.com/wp-admin ya no debería mostrarte el la pantalla de login sino el típico error 404. Dirígete entonces a la nueva dirección que hayas configurado.

Algunas recomendaciones adicionales:

• Si estás trabajando con WP Super Cache, cuando instales este nuevo plugin verás un aviso pidiendo realizar algunos pequeños cambios en su configuración.
• Si estás trabajando con un membership site o sitio de membresía, no tendrás que preocuparte. Lo mismo si utilizas formularios u otras funciones de WordPress.

 

 

Limitar el acceso a WordPress wp-admin desde htaccess a una IP

Otra manera de asegurar el inicio de sesión de WordPress es limitando el acceso a direcciones IP específicas. Esta recomendación es particularmente útil si eres tú solo, o son pocos usuarios confiables quienes acceden a la administración de tu web por wp-admin.

Simplemente agrega este código a tu archivo .htaccess. Para tu comodidad, te recomendamos que lo hagas usando el administrador de archivos de tu hosting. En WNPower ofrecemos cPanel y su Administrador de Archivos es muy cómodo.

<Files wp-login.php>
order deny,allow
deny from all
# TU DIRECCION IP
allow from xx.xx.xx.xx
</Files>

Ten en cuenta:

• Reemplazar xx.xx.xx.xx por tu dirección IP. Si la desconoces, puedes obtener tu IP de navegación aquí.
• Si tienes más de una dirección IP puedes agregar tantas como necesites copiando y pegando la línea “Allow from xx.xx.xx.xx” en el renglón de abajo.
• Nunca elimines las líneas que dicen “Allow” ya que te quedarás fuera de wp-admin y tendrás editar el código nuevamente.

 

Conclusión:

Como te contábamos al principio de esta nota, cambiar la URL de wp-admin de tu WordPress, o limitar el acceso al público, son una buena práctica si deseas mantener tu WordPress seguro, de manera que tú y tus colaboradores sean solo quienes conozcan la dirección para ingresar.

En WNPower trabajamos todos los días para que tu WordPress esté seguro y permanentemente agregamos medidas de seguridad proactivas. De todas maneras siempre es bueno seguir recomendaciones y buenas prácticas para eliminar cualquier posibilidad de problemas.

Descubre un Hosting WordPress, seguro y fácil de usar, hecho a tu medida. En WNPower hacemos Hosting, más simple, y descuentos especiales están esperando por ti. ¡Te esperamos!