Mejorar la seguridad de acceso en WordPress

Mejorar la seguridad de acceso en Wordpress

El principal temor de nuestros clientes es que su página sea “hackeada” por una persona ajena.

Para evitar este tipo de ataques existen múltiples opciones, pero en esta entrada hablaremos de como mejorar la seguridad en el acceso al panel de control de Wordpress.

El gestor de contenidos Wordpress se basa en dos partes fundamentales:

  • Front-end: es la parte que visualiza cualquier usuario en nuestra página.
  • Back-end: es el panel de control donde sólo tienen acceso los usuarios administradores. Aquí es donde se gestiona todo el contenido, la estructura y los plugins de la página web. Para acceder a este panel: tudominio.com/wp-admin.php / tudominio.com/wp-login.php

Nuestro objetivo es evitar que un usuario cualquiera pueda acceder al Back-end. Aquí te damos dos consejos muy útiles y fáciles que tu mismo puedes llevar a cabo:

1. Cambiar el nombre de usuario administrador

Para acceder al Back-end, es necesario obtener un usuario administrador junto con su contraseña. Por este motivo, el nombre de un usuario administrador puede ser el primer objetivo de muchos Hackers. De conseguir el nombre, ya tendrían la mitad de la faena hecha y “sólo” les faltaría obtener la contraseña de acceso.

Para evitar que nuestro nombre de usuario administrador sea fácil de obtener, hay que seguir unos pequeños consejos:

1 – No publicar entradas o contenido con el usuario administrador: Normalmente al publicar una entrada, aparece la fecha, las categorías, las etiquetas y el nombre del autor. Si creamos una entrada con un usuario administrador aparecerá el nombre y le habremos facilitado la faena al Hacker. Para ello hay que crear un usuario que no sea administrador (editor, autor o colaborador) y crear contenido con ese perfil.

Ejemplo de nombre administrador visible

2 – Crear un usuario editor: Para crear un usuario editor hay que acceder con un usuario administrador al Back-end o panel de control y seleccionar el apartado del menú lateral Usuarios. Una vez dentro del apartado, seleccionar la opción Añadir nuevo usuario. Rellenar el formulario con los datos necesarios y seleccionar la opción de perfil como editor, autor o colaborador:

Crear usuario editor

3 – Una vez creado el usuario y accedido con él ya se podrá crear contenido sin mostrar el nombre de ningún usuario administrador:

Ejemplo de nombre administrador no visible


2. Ocultar dirección de acceso al panel de control

Para acceder al panel de control de un Wordpress hay que añadir a nuestro dominio: /wp-admin o /wp-login: ejemplo: tudominio.com/wp-admin. Cualquier usuario puede introducir esta dirección en su navegador y llegar al formulario de acceso al panel de control. Si dejamos la configuración por defecto de Wordpress, facilitaremos a los Hackers els acceso a nuestro Back-end. Por eso es importante cambiar la dirección de acceso al panel de control por otra que sea mucho más complicada de conseguir. Ejemplo: tudominio.com/panel_control_47spq_8vri2

Para poder cambiar esta dirección, habrá que utilizar una extensión de Wordpress que ofrezca esta opción. Nosotros usamos Lockdown WP Admin, cuyo funcionamiento es realmente sencillo y además es gratuita.

Una vez descargada e instalada la extensión, hay que seguir los siguientes pasos:

1 – Acceder al panel de control de Wordpress y seleccionar del menú lateral, el apartado Lockdown WP.

2 – En el apartado WordPress Login URL, cambiar la dirección por una personalizada. Ejemplo: panel_control_47spq_8vri2

Cambiar dirección panel de control

3 – Guardar la configuración y acceder a la dirección que acabamos de modificar para verificar que realmente se ha cambiado el enlace y ya no se puede acceder vía wp-admin o wp-login:

Wp-admin ya no aparece

Enlace al panel de control actualizado