Ya hace casi 2 años que hablábamos de como mover el login de WordPress para protegerlo de ataques de fuerza bruta y diccionario y a juzgar por las casi 7000 lecturas que tuvo estoy seguro que a más de uno le resolvió el problema.
Como la Seguridad en WordPress es una disciplina en constante renovación, ha llegado el momento de actualizar y aunque el plugin Move Login, es bueno, está escrito por un gurú como Julio Potier, experto en seguridad, toca darle la oportunidad a otras herramientas, y en esta ocasión va a ser con WPS Hide Login, escrito por Remy Perona, contribuidor de la comunidad de WordPress desde hace tiempo.
Con el plugin WPS Hide Login no vas a eliminar /wp-login.php o /wp-admin , pero si los vas a ocultar para que no sean visibles ni accesibles (ofuscación).
A partir de la instalación y configuración del plugin, los usuarios solo podrán acceder a áreas que requieran autenticación desde una url conocida previamente, que tu les facilites, de forma que los accesos clásicos al formulario de login no podrán ser utilizados.
Instalación y configuración del plugin
Se trata de un plugin gratuito que puedes instalar desde el dashboard de WordPress, previa copia de seguridad ¡siempre! accediendo a Plugins, Añadir nuevo.
Utilizando la caja de búsquedas localiza el plugin WPS Hide Login, y una vez en pantalla haz clic en Instalar y posteriormente en Activar.
Trabaja con multisitios y es compatible con el plugin de gestión de caché WP Rocket.
También es compatible con:
- BuddyPress
- bbPress
- Limit Login Attempts
- User Switching
Una vez activado el plugin accede a Ajustes, Generales y establece la palabra de paso que sustituirá al clásico:
/wp-login.php /wp-admin
Sobra decir que tendrás que tener memoria de elefante o una libreta a mano para anotarla, no serias el primero que conozco que instala un plugin con este tipo de funcionalidad y 5 minutos después se olvidó de la palabra de paso que puso y se quedó sin acceso, "nada grave", pero un pequeño incordio pues tendrás que renombrar la carpeta del plugin y volver a empezar.
Si has hecho las cosas bien, cuando trates de acceder con tu dominio a la url de acceso al dashboard o al login de usuarios registrados, por ejemplo:
http://tu-dominio.com/wp-admin
Te encontrarás un hermoso 404 diciéndote que "naranjas de la china", vamos que te has equivocado, que /wp-admin o /wp-login.php no existen.
Si por el contrario pones la url de tu dominio con la palabra de paso establecida:
http://tu-dominio.com/que-bonitos-ojos-tienes
Lo propio es que accedas.
Vamos a verlo en detalle en el siguiente vídeo.
Los inicios de sesión relacionados con el formulario de registro, formulario de recuperación de contraseña perdida/olvidada, el widget de inicio de sesión y las sesiones expiradas seguirán funcionando con normalidad.
Si trabajas con plugins como WP Super Cache o W3 Total Cache, cuando instales el plugin WPS Hide Login verás un aviso con un enlace incluido que te indicará que campo debes actualizar.
No hace falta que te compliques la vida con plugins de mayor calado para aplicar medidas de protección al dashboard. Es verdad que hay muy buenas soluciones en formato de plugin que ayudan a elevar los niveles de seguridad de un sitio WordPress.
Si te alojas en un Hosting donde la seguridad sea una máxima y las medidas que apliquen formen parte de servicio de calidad que toda empresa de Hosting que se precie debe dar, seguramente ellos ya estarán haciendo su parte, segurizando los servidores para que nada malo suceda y tus días y noches sean tranquilos.
¿Quieres profundizar más en todo lo relacionado con la seguridad de tu sitio creado con WordPress?, puedes consultar alguno de los artículos que hemos publicado en el Blog de Webempresa:
- Aumenta la seguridad en WordPress, ¡protege tu inversión!
- 10 sencillos consejos para reforzar la seguridad de WordPress usando .htaccess
- Insertar un Captcha en el formulario de acceso de la administración de WordPress
- Latch en WordPress 4.1 - Seguridad en los accesos al dashboard
- Protegiendo WordPress con Mute Screamer (Mutex)
...hay muchos más artículos que puedes consultar en la categoría de Seguridad WordPress de nuestro Blog.
Empieza 2016 con buen pie ¡refuerza la seguridad de tus instalaciones de WordPress!
