Si ya has empezado a utilizar WordPress, ya estarás familiarizado con la forma de acceder al escritorio de administración desde wp-admin, aunque luego veas que te redirige hacia wp-login.php, lo que puede crear algo de confusión. Vamos a explicarte qué son estos ficheros, por qué son tan importantes, cuáles son las diferencias y cómo puedes protegerlos.
Qué son los ficheros wp-admin y wp-login de wordpress y cómo funcionan
Cuando instalas WordPress en cualquier hosting, lo que estás haciendo es añadir una estructura de archivos y directorios que hacen que WordPress pueda funcionar tal y como lo conoces.
Es posible que hayas entrado por FTP o por el administrador de archivos al hosting, para ver cuáles son ficheros de WordPress y qué estructura forman.
O simplemente te limitas a acceder desde la URL de acceso, que siempre es la misma:
https://ejemplodominio.es/wp-admin
En cualquier caso, ya habrás visto que WordPress siempre te redirige hacia otra URL, del tipo:
https://ejemplodominio.es/wp-login.php
Entonces, ¿Por qué accedemos desde wp-admin, si el archivo es wp-login.php? ¿Qué diferencia hay? ¿Cuál tengo que usar y cuál tengo que proteger?
Vamos a explicarte todo lo que necesitas saber son sobres estos ficheros de WordPress, para que sepas lo importantes que son para el funcionamiento del gestor de contenidos y cómo puedes protegerlos para evitar que un atacante se haga con el control de tu WordPress.
Qué es wp-admin
Cuando instalas WordPress, se añaden tres carpetas, que son:
wp-admin
wp-content
wp-includes
Esto quiere decir que wp-admin no es un fichero, si no un directorio y es imprescindible para el funcionamiento de WordPress.
Dentro de wp-admin hay otros directorios y ficheros php que conforman la estructura interna de WordPress.
En wp-admin, todo el contenido es estático, no puedes configurar nada, ni puedes modificar nada, es lo que necesita WordPress para funcionar.
De hecho, si alguna vez borras o dañas por error alguno de los archivos que componen wp-admin, sólo tienes que descargar la misma versión de WordPress que estés utilizando y volver a subir la carpeta a tu servidor, reemplazando los archivos.
Con esto sería suficiente para resolver el problema en wp-admin, ya que como decimos, se trata de contenido estético, el cual se puede sustituir por otro igual.
Qué es wp-login
Ahora le toca el turno a wp-login, que sí que se trata de un fichero php, por lo que su nombre completo sería wp-login.php.
wp-login es un archivo dinámico y cuando se accede se muestra el formulario de acceso de WordPress que todos conocemos.
El archivo wp-login es el que utiliza WordPress para que todos los usuarios registrados accedan y da igual si el usuario es un simple suscriptor o tiene las credenciales de administrador, el acceso es desde el mismo sitio.
Como podrás imaginar, si es la puerta de acceso a WordPress, tienes que estar muy protegida, ya que será uno de los objetivos principales para todos los atacantes que quieran hacerse con el control de tu WordPress.
¿Qué por qué van a querer acceder a tu WordPress, si sólo tienes un sitio muy pequeño que no le importa a nadie?
La respuesta sería: por que pueden, no es nada personal, si tienes un sitio online este será atacado sí o sí, aunque la gran mayoría estos ataques son estériles y ni si quiera te enteres de ellos.
Protección de los ficheros wp-admin y wp-login
Ahora que ya conocemos para qué funcionan los ficheros de WordPress wp-admin y wp-login y lo importantes que son, es normal que busques alguna forma de protección extra, para añadir una capa de seguridad al acceso.
Existen varias maneras, algunos más complejos que otros, que puedes utilizar, aunque hay que tener cuidado con lo que se hace, ya que una mala configuración puede hacer que no podamos entrar a la administración de WordPress, ni si quiera nosotros mismos.
Vamos a ver las formas más comunes de poner a salvo wp-admin y wp-login, luego puedes decidir si quieres utilizar todas las medidas o sólo algunas de ellas.
Dominio gratis
Soporte 24x7
5 cuentas de correo
1 Web
5 GB espacio SSD
Ocultar la URL de acceso a WordPress
Quizás ya tengas en la cabeza lo que vamos a explicar aquí y es que la URL de acceso de todas las instalaciones de WordPress es la misma, cambiando sólo el dominio, obviamente.
Es decir, que si un atacante quiere probar unas contraseñas de acceso, sólo tiene que poner ejemplodominio.es/wp-admin y se encontrará con el formulario de acceso.
Una manera de evitar esto es ocultando o cambiando las URL de acceso, de esta manera no sabrán cuál es la URL de acceso a tu WordPress.
Para hacer esto puedes usar un plugin como WPS Hide Login, el cual puedes descargar desde aquí puedes descargar desde aquí o buscarlo en el repositorio de plugins de WordPress.
Es muy sencillo de utilizar, ya que apenas tiene opciones de configuración y sólo tenemos que cambiar la ruta /login, por cualquier otra ruta que queramos, como /oculto.
Así, para acceder al login de nuestro WordPress tendremos que usar ejemplodominio.es/oculto o nos mostrará un error 404 a intentar acceder de la forma habitual.
¡Cuidado! Si olvidamos la URL de acceso correcta, tampoco podremos acceder nosotros.
Autenticación de 2 factores o 2FA
Una de las formas más efectivas de proteger el acceso de WordPress o cualquier otro tipo de acceso, es configurar la autenticación de 2 factores o 2FA.
Su uso es cada vez muy extendido y añade una capa de seguridad extra a la contraseña, ya que es necesaria la verificación extra desde un dispositivo externo, generalmente nuestro teléfono móvil.
Se instala una app en nuestro móvil y se configura el sistema. Cuando se quiera acceder desde wp-admin todo será igual, pondremos nuestras credenciales de acceso.
Pero luego nos pedirá un código que sólo podemos ver desde la app de nuestro móvil, además, este código será aleatorio y se auto regenera a los pocos segundos.
Una de las formas más seguras de securizar el acceso a WordPress o a cualquier otro sitio, aunque el usuario necesita realizar un paso extra y muchos son reacios a eso.
Limita el número de accesos incorrectos - Ataques por fuerza bruta
Uno de los ataques más frecuentes y menos efectivos en wp-admin, son los ataques por fuerza bruta.
Un ataque de fuerza bruta es muy simple, se trata de probar combinaciones de usuario y contraseña continuamente, por si tienen "suerte" y dan con la correcta.
Este tipo de ataques son muy fáciles de efectuar, no los realiza una persona que prueba una a una las distintas combinaciones, lo hace un bot programado para y realiza muchas comprobaciones por segundo, pero tiene dos puntos que debemos controlar.
Hay usuarios que usan contraseñas inseguras, por ejemplo, una palabra que exista en un diccionario, por lo que el ataque puede resultar fructífero para el atacante.
Los recursos del servidor sufren, ya que tienen que soportar una gran cantidad de peticiones, lo que puede provocar un problema en nuestra web, ir más lenta, etc.
Para evitar esto, podemos añadir un plugin que controle el número de veces que una misma dirección IP puede probar el acceso a WordPress desde wp-admin.
Por ejemplo, puedes configurarlo de forma que, al quinto intento incorrecto, la dirección IP quede bloqueada durante 10 minutos y si pasado este tiempo la misma dirección IP vuelve a fallar y es bloqueado 2 veces más en las mismas 24 horas, el bloqueo de IP sea mucho mayor, días o incluso meses.
Hay muchos plugins que se encargan de eso, sobre todo los packs de seguridad, pero si quieres un plugin sencillo y ligero, Loginizer es una de las opciones más utilizadas.
Una curiosidad, si configuras Loginizer o cualquier otro plugin parecido en tu WordPress, déjalo unos días y luego mira en sus estadísticas la cantidad de direcciones IP que se han bloqueado, seguramente te sorprenderá.
Usar contraseñas fuertes y seguras
Otra cosa que debes tener muy en cuenta para proteger el acceso a tu WordPress desde wp-admin o wp-login, es usar contraseñas fuertes y seguras.
Puede parecer una obviedad, pero la primera barrera para proteger tu WordPress es el uso de una contraseña muy fuerte y segura. Es la primera protección y la más importante.
Tienes que huir de palabras que puedas encontrar en un diccionario, aunque les pongas un número al principio y una arroba al final, es lo primero que prueban.
Una contraseña fuerte debe de ser larga, de al menos 12 caracteres y debe contener mayúsculas, minúsculas, números y algún símbolo.
Una combinación aleatoria de todo esto es la mejor opción a la hora de escoger una contraseña para el acceso a través de wp-admin.
Otro punto importante, es dejar de usar admincomo nombre de usuario en los datos de acceso a WordPress.
Es el nombre de usuario por defecto en las instalaciones de WordPress es admin, así que, si usamos otro distinto y que no sea el propio dominio, se lo pones más difícil al atacante, algo a tener muy en cuenta si estamos hablando de proteger los ficheros de WordPress wp-admin o wp-login.
Conclusión
Como has visto, wp-admin y wp-login parecen lo mismo, pero no lo son y aunque los dos caminos nos llevan a la página de acceso de WordPress, es bueno tener los conceptos claros.
También hemos visto que son muy importantes, ya que son el acceso al panel de administración de nuestro WordPress y esto es algo que tenemos que proteger a toda costa, ya que, si un atacante logra acceder, podemos perder el control de nuestro WordPress.