Cómo proteger directorio wp-admin

Proteger tu sitio web WordPress es importante. Siendo una de las plataformas más utilizadas para crear sitios online, necesita una seguridad robusta, ya que suele ser el objetivo de ataques.

Si estás pensando en instalar WordPress o ya lo tienes, presta atención a estos consejos para proteger tu directorio wp-admin, que es el punto de acceso a tu WordPress por defecto.

1. Cambia la URL de acceso

Antes se podía añadir una lina al archivo .htaccess para cambiar la URL de acceso a WordPress, pero este método YA NO FUNCIONA, al menos en las últimas versiones de WordPress que hemos probado.

¡¡OJO, esto ya no funciona!!
RewriteRule ^acceso-privado$ /wp-login.php [NC,L] 

Ni si quiera modificando el archivo functions.php de la plantilla para modificar el acceso, WordPress siempre redirige, de una forma u otra, al archivo wp-login.php, por lo que el propósito de esta acción pierde todo el sentido.

Si prefieres usar un plugin para esto, el más popular es WPS Hide Login, el cual hemos probado y funciona perfectamente.

Sólo tienes que añadir el nombre de acceso y guardar los cambios. El acceso habitual de WordPress dejará de funcionar y la única forma de poder loguearte será la que has indicado. ¡¡No te olvides de cuál es la URL de acceso después de cambiarlo!!

2. Limita los intentos de inicio de sesión

Las herramientas que limitan los intentos de inicio de sesión evitan que los hackers intenten acceder repetidamente con distintos nombres de usuario y contraseña a nuestro WordPress.

Existen muchos plugins que evitan esto de forma sencilla, por ejemplo: Limit Login Attempts Reloaded o Loginizer.

3. Uso de contraseñas seguras

Asegúrate de usar contraseñas fuertes. Combina letras, números y símbolos.

Considera usar un gestor de contraseñas para generar y almacenar estas contraseñas.

No utilices palabras que puedan estar en ningún diccionario de ningún idioma. Tampoco números de fechas relevantes en tu vida, nombres de mascotas, el nombre de la web con alguna mayúscula, etc...

4. Autenticación de dos factores (2FA)

Implementar 2FA añade una capa extra de seguridad. Requiere que el usuario proporcione dos tipos diferentes de información para acceder.

Uno es su contraseña de acceso y la otra una verificación por otro canal, ya sea un SMS, una código en un email o una app en tu movil.

En WordPress tienes varios plugins que te ayudarán con esto. Sólo tienes que acceder a la sección de plugins de tu WordPress y realizar una búsqueda con 2FA.

5. Restricciones por IP

Si trabajas siempre desde la misma ubicación, puedes restringir el acceso al directorio wp-admin solo a tu dirección IP.

Esto tiene inconvenientes. El primero y mas obvio es que si cambias de dirección IP, no podrás acceder, así que necesitas una dirección IP fija.

Si tu proveedor de Internet no ofrece esta posibilidad, puedes recurrir a una VPN.

Otro problema es si tu WordPress acepta suscriptores. De ser así, este método no podrás utilizarlo, ya que necesitan el acceso a wp-login.php para poder acceder y es lo que se bloquea.

En cualquier caso, el código que puedes usar en el archivo .htaccess para proteger wp-admin es el siguiente:

<Files wp-login.php>
order deny,allow
deny from all
allow from 192.168.0.1
</Files>

Donde la dirección IP 192.168.0.1 sería tu dirección IP.

Conclusión

Proteger el directorio wp-admin es importante para mantener seguro tu sitio web WordPress.

Aquí te hemos mostrado varias opciones, pero no es necesario que optes por todas. Puedes elegir la que más te convenga.

Por último, si alguna vez te encuentras en una situación complicada, no dudes en buscar ayuda profesional o recurrir a la comunidad online de WordPress para recibir consejos y trucos adicionales.

IMPORTANTE: La seguridad de tu WordPress es importante y al tener un sitio WP online, eres un objetivo de los atacantes. No creas que por tener un sitio pequeño y sin importancia pasarán de ti. Los ataques son indiscriminados.