Ocultar la página de inicio de sesión en WordPress es una necesidad para prevenir ataques de fuerza bruta, que pueden poner en riesgo nuestro sitio web, dejándolo en manos de los hackers.
¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta es aquel en el que el atacante emplea determinadas técnicas para descifrar una contraseña mediante ensayos de prueba y error masivos con la ayuda de un equipo informático, y así lograr acceso a una cuenta o sistema.
Impedir el acceso
Normalmente el acceso al área administrativa de WordPress se hace mediante https://misitio.com/wp-admin/, o https://misitio.com/wp-login.php. Los atacantes, mediante bots, intentarán acceder a dichas URLs para probar numerosas combinaciones de posibles contraseñas para intentar acceder y tomar el control del sitio web. Si cambiamos la URL de acceso por cualquier otra, será más difícil al hacker saber dónde por tendrá que intentar el acceso. Por ejemplo, mediante varios plugins se podría cambiar la página de acceso al área administrativa a cualquiera otra que deseemos. Por ejemplo a: https://misitio.com/poraquientroyo o, si quiero hacerlo más difícil todavía, puedo cambiar las vocales (todas o algunas de ellas) por números: https://misitio.com/p0r4qui3ntr0y0. En este caso, he cambiado cada o por un cero, la a por un 4, y la e por un 3. Los plugins que ocultan las URLs de inicio de sesión, presentarán un error 404 (página no encontrada) al intentar acceder mediante https://misitio.com/wp-admin/ o https://misitio.com/wp-login.php.
Algunos plugins que permiten ocultar la página de inicio de sesión en WordPress:
WPS Hide Login
https://wordpress.org/plugins/wps-hide-login/
Instalaciones activas: más de 1 millón
Descripción en su página: WPS Hide Login es un complemento muy ligero que le permite cambiar de manera fácil y segura la URL de la página del formulario de inicio de sesión a cualquier cosa que desee. Literalmente, no cambia el nombre ni cambia los archivos en el núcleo, ni agrega reglas de reescritura. Simplemente intercepta solicitudes de página y funciona en cualquier sitio web de WordPress. El directorio wp-admin y la página wp-login.php se vuelven inaccesibles, por lo que debe marcar o recordar la URL. Desactivar este complemento hace que su sitio vuelva exactamente al estado en que se encontraba antes.
Este es el plugin que uso para ocultar las páginas de inicio de sesión: me parece sencillo y efectivo.
Defender Security – Malware Scanner, Login Security & Firewall
https://wordpress.org/plugins/defender-security/
Instalaciones activas: más de 60.000
Descripción en su página: Defender agrega lo mejor en seguridad de complementos de WordPress a su sitio web con solo unos pocos clics. Detenga los ataques de fuerza bruta, las inyecciones de SQL, las secuencias de comandos entre sitios XSS y otras vulnerabilidades y ataques de WordPress con los análisis de malware y antivirus de Defender, el bloqueo de IP, el cortafuegos, el registro de actividad, el registro de seguridad y la seguridad de inicio de sesión con autenticación de dos factores.
(Ofrece muchas otras funciones para dificultar el trabajo de los hackers para acceder a nuestros sitios).
Hide login page, Hide wp admin – stop attack on login page
https://wordpress.org/plugins/hide-login-page/
Instalaciones activas: más de 30.000
Descripción en su página: Este complemento simple y liviano cambia el nombre de forma segura a wp-login.php y cierra el acceso al panel de administración de WordPress. El complemento no cambia el código de su sitio, no cambia el nombre de los archivos y no realiza ningún cambio en la configuración de su servidor. Puede interceptar solicitudes de páginas de administración, lo que significa que puede funcionar en cualquier sitio de WordPress, independientemente de su servidor.
iThemes Security (formerly Better WP Security)
https://wordpress.org/plugins/better-wp-security/
Instalaciones activas: más de 1 millón
Descripción en su página: En promedio, 30,000 sitios web son pirateados todos los días. Cada 39 segundos, ocurre un nuevo ciberataque en algún lugar de la web. La buena noticia es que la mayoría de los desastres de seguridad se pueden prevenir. Usando iThemes Security, puede identificar y detener ataques en su sitio web. Ahorrándose el tiempo y el costo de reparar un sitio web pirateado.
Al igual que Defender, ofrece muchas otras funciones, y tiene también una versión Pro.
¿Necesitas ayuda con tu sitio web WordPress?, escríbeme y te responderé prontamente.