Una de las áreas importantes en tu sitio web, y al mismo tiempo potencialmente peligrosa, es el área de administración login de WordPress. Normalmente la usamos para acceder al panel de control de la configuración y el contenido del sitio web, pero también pueden usarla otras personas, para acceder sin permiso, con el fin de destruir el sitio web. Hoy veremos con detalles cómo proteger el formulario login de WordPress.
Formulario Login de WordPress
La supremacía de WordPress como el gestor de contenido más usado es indiscutible, y su popularidad no pasa desapercibida a los ojos de los hackers. Esto lo ha hecho un objetivo irresistible para ellos, aprovechando el descuido de muchos usuarios de WordPress.
Si ya usas WordPress, sabrás que, el enlace o ruta de acceso a la administración es única, para todos los sitios web operativos con WordPress, y que está ubicada en la carpeta wp-admin de cualquier sitio, o directamente al archivo wp-login.php.
Esto es, desde una perspectiva de seguridad, es preocupante, dado que, el hacker o el posible intruso tiene buena parte del trabajo hecha, que es la vía de acceso al panel de administración, mediante el formulario login de WordPress.
Ocultar Formulario Login de WordPress
Dicho esto, quizá te estés preguntando ¿Qué se puede hacer?
La respuesta lógica es, ocultar la página de acceso, y personalizarla, con una ruta que sólo tú como propietario de tu sitio web sepas, y nadie más, para evitar ser un objetivo de intento de acceso mediante atques de fuerza bruta (Brute Force).
Ocultar el formulario login de WordPress es una buena estrategia, cuando hablamos de un sitio web que no gestiona varios usuarios, y que tiene un número limitado entre administradores, autores o colaboradores, a los quienes puedes dar tu URL personalizada.
Pero ojo, esto de ocultar el formulario login de WordPress, no es un sustituto o reemplazo de otras medidas de seguridad, como elegir una contraseña fuerte, e instalar un plugin que limita los intentos de acceso.
Estamos hablando de varias medidas, al mismo tiempo, que funcionan conjuntamente para proteger tu sitio WordPress, contra los ataques automatizados, e intrusos en general.
¿Cómo Proteger URL de Administración de WordPress?
Hemos hablado de la solución, ahora pasamos a la práctica, y cómo implementar la protección del formulario login de WordPress.
Antes de aplicar estos pasos, es siempre conveniente y recomendable crear una copia de respaldo backup de los archivos de tu sitio web y la base de datos, para asegurar el trabajo duro que has hecho hasta ahora.
Ahora bien, la idea sencillamente es, convertir la URL predeterminada de example.com/wp-admin a algo como example.com/alex, o cualquier nombre, que no sea tan común, y preferiblemente que sea algo difícil de adivinar.
Tranquilo, suena algo delicado, pero no vamos a cambiar el nombre de carpeta ni nada por el estilo, dado que, en WordPress hay solución para casi todas las necesidades, en forma de plugins.
Plugins para Cambiar Ruta de Login
Varios plugins de seguridad tipo todo en uno, vienen incluidos con una opción de ocultar la URL estándar de acceso al formulario login de WordPress, cambiando el nombre de carpeta a algo más personalizado, como iThemes Security, que de hecho funciona bastante bien.
Otro plugin que te recomendamos es, WPS Hide Login, con buenas valoraciones y reseñas de los muchos usuarios que lo utilizan.
Claro está, estos no son los úicos plugins, hay otros plugins de seguridad, que incluyen esta funcionalidad, sólo ten en cuenta la compatibilidad del plugin que usas con tu sitio web, y su comportamiento en el entorno de tu trabajo.
En efecto, lo que hacen esos plugins, en su mayoría, es aplicar la técnica de ofuscación de la dirección, y no cambiar literalmente el nombre de la carpeta wp-admin, dado que, cambiar su nombre es algo complicado.
Simplemente interceptar la petición de la URL y hacer una verificacion, o comparación entre el nombre elegir almacenado en la configuración, y el de la petición, y eventualmente, hacer la respectiva redirección al verdadera ruta de acceso al formulario login de WordPress.
Resumen Final
La protección del formulario login de WordPress de tu sitio web, y por consiguiente, de la totalidad del sitio, y su contenido, no están exclusivamente relacionados con el cambiar la URL de acceso a la administración de WordPress.
Hay otros pasos que, me atrevo a decir, que son más importante, que es, principalmente, elegir una buena contraseña, difícil de romper, y aún más difícil de adivinar. Y no olvidar limitar el número de intentos de acceso por persona/IP para reducir de forma drástica la vulnerabilidad de tu sitio web.
Esto es todo, te invitamos a seguirnos por nuestras redes por Facebook y Twitter, para que estés informado sobre lo último de seguridad y protección de WordPress.
