A estas alturas el amor que tenemos por WordPress es evidente. Esas mariposas cuyas alas tienen la forma de una "W" revolotean dentro de nosotros.
Hoy te traigo un artículo en el que vas a conocer un poquito más sobre la manera en que funciona y hacemos login en WordPress, y al final de esta página entenderás la gran diferencia entre wp-admin y wp-login.
Oro parece, plata sí es.
No te voy a hablar de plátanos ni acertijos, pero sí usar el concepto para hablarte de esa parte más técnica de WordPress que a veces nos gusta dejar en manos de quien nos esté haciendo la web (en el caso de que seas cliente de alguien) o que dejamos en ese cajoncito secreto marcado con una etiqueta de cosas por mejorar en el que tenemos la parte técnica de WordPress y sus entrañas que no se ven a simple vista (en el caso de que seas tú quien hace la web).
Mucho hemos hablado en este blog sobre plantillas WordPress, plugins para todo tipo de uso y conceptos generales; y además de todo ello, poco a poco te vamos ofreciendo contenido más técnico, que hará que conozcas de una manera mucho más profunda nuestro gestor de contenidos favorito.
El login de WordPress es una de esas partes que parece simple, pero que esconde un gran funcionamiento interno.
A continuación te voy a explicar, por separado, para qué sirve wp-admin y wp-login, y así tendrás una clara idea de lo que los diferencia (a simple vista tan parecidos).
Índice de contenidos
- WP-admin y wp-login
- Protección de wp-admin y wp-login
- Protección con contraseña desde cPanel
- Verificación en dos pasos
- Limitación de intentos de login
- No dar pistas al fallar el logueo
- Requerir contraseñas fuertes
- Resetear contraseñas de todos los usuarios a la vez
- Limitar acceso a panel de administración
- Desloguear automáticamente a usuarios idle
- Usar WPS Hide Login
- Vídeo explicativo
WP-admin y wp-login
Tanto wp-admin como wp-login (wp-login.php para ser exactos, pero vamos a omitir la extensión del archivo para entendernos) son bastante parecidos en un primer nivel, pero muy diferenciados entre sí.
Lo que tienes que saber sobre wp-admin
Wp-admin es lo que todos conocemos al escribir justo esas letras detrás de nuestro dominio web. (www.ejemplo.com/wp-admin).
Es una de las maneras que los más amateur tienen de saber si la web en cuestión está usando WordPress.
No obstante, hay que tener otros factores en cuenta para saber con qué está hecha una web, ya que hoy en día es muy fácil esconder o mover de sitio el cómo se hace login en WordPress (no te preocupes, al terminar el artículo sabrás cómo hacerlo tú mism@).
Wp-admin es una carpeta de las tres que vienen por defecto en WordPress (wp-admin, wp-content, wp-includes).
Dentro de dicha carpeta, no hay ningún archivo de configuración (al contrario que wp-content por ejemplo). Todo el contenido es estático, y contiene archivos internos como scripts y librerías.
Esto en parte es bueno, porque si algún día tienes problemas serios con esa carpeta, lo mejor es borrarla y volverla a subir a partir de los archivos originales que te descargues desde WordPress.
Lo que tienes que saber sobre wp-login
Wp-login, en cambio, es un archivo individual llamado wp-login.php y que se encuentra en la carpeta principal de tu web (la famosa carpeta root).
Dicho archivo hace que aparezca un formulario de login WordPress (el que todos conocemos), en el cual escribirás un usuario y contraseña y podrás acceder al panel de administración.
Hay diversos plugins que hacen un poco "más complejo" dicho formulario, añadiendo un captcha, autentificación en dos pasos, etc.
No te preocupes si tanto wp-admin como wp-login te confunden un poco, porque escribiendo ambos detrás de una web de WordPress vas a acabar en el mismo sitio: el login WordPress que todos conocemos.
Y precisamente, porque es muy fácil adivinar si una web está hecha con WordPress o no, escribiendo wp-admin o wp-login.php al final del dominio, voy a explicarte, junto con recursos y vídeo (más abajo), cómo protegerse ante posibles ataques o gente demasiado curiosa.
Protección de wp-admin y wp-login
Cómo acabo de mencionar en el punto anterior, la finalidad de este apartado del artículo es conseguir que, precisamente, no tengas URLs demasiado obvias.
Y con esto me refiero a las "oficiales" (por ende, las obvias) que son:
- www.ejemplodominio.com/wp-admin
- www.ejemplodominio.com/wp-login.php
Eso sí, recuerda que no estás obligad@ a poner en tu web ninguna de las soluciones que te propongo a continuación, y que, de querer hacerlo, primero lo hagas en un entorno test, ya que tu web se podría romper.
Protección con contraseña desde cPanel
Este procedimiento es bastante sencillo y lo puedes hacer desde el panel de tu servidor (si lo tienes con Webempresa, basta con que sigas los pasos que describo en el apartado vídeo: minuto 2:56).
Como verás, es un método sencillo y que añade una capa de seguridad extra a aquellos "curiosos" que intentan adivinar tu contraseña de administrador de WordPress.
TIP adicional: recuerda no utilizar nunca el usuario "admin", ya que es el más fácil de adivinar.
Uso de contraseñas muy fuertes
Al igual que el consejo de no usar "admin", es más que recomendable (casi obligatorio hoy en día) usar una contraseña muy compleja.
No caigas en la tentación de usar contraseñas tipo "12345", "nombredeempresayañoactual" o "nombredetucalleyañoactual".
Te invito a que busques en Google "contraseñas más utilizadas en 2018" y si encuentras la tuya, o alguna muy parecida, cámbiala por una mucho más fuerte y rara.
Puede que pienses que no la vas a recordar, ¡y es completamente normal!, por ello te recomiendo que utilices esto:
- Un gestor de contraseñas: Por ejemplo, Webempresa ha sacado hace poco la aplicación CiberProtector. Es un servicio Beta que ya pueden probar sus clientes de forma gratuita y con ella puedes crear, almacenar, utilizar y compartir tus contraseñas de forma segura.
Además, la VPN de CiberProtector es una red de seguridad para que te conectes a internet tranquilamente y a salvo desde tu ordenador o tu móvil. - Un generador de contraseñas complejas: aunque CiberProtector ya incorpora uno, intenta que tu contraseña, por lo menos, tenga una letra en mayúscula, un número y un símbolo.
Recomendación: ¿qué tal si añades un plus de seguridad al usuario con el que accedes a tu Web?
Si ya estás trabajando, por ejemplo, con una página web WordPress, puedes utilizar el servicio gratuito Llavero.io (creado por Webempresa).
Con esta herramienta consigues más protección para el wp-admin añadiendo autenticación en dos pasos y activando o desactivando el acceso desde tu SmartPhone.
Verificación en dos pasos
Aunque opcional, es también muy recomendable añadir la verificación en dos pasos a tu login de WordPress. De entre varios plugins, yo te recomiendo este de aquí, para hacer tu wp-admin y wp-login más seguros.
Es quizás un método demasiado novedoso, pero si lo puedes configurar bien y te gusta, ¡utilízalo!
Limitación de intentos de login
Otra manera de frenar los ataques es limitar los intentos de login en WordPress. Yo te recomiendo dicho método sobretodo si tienes muchos usuarios, y no quieres sobrecargar la web.
Prueba con este plugin, te ayudará mucho.
Que solo IPs específicas puedan acceder
Aquí me pongo un poco más "quisquilloso", ya que con el código que te escribo a continuación, podrás hacer que solo tú puedas acceder al admin de tu web, desde tu ordenador (o quién tu elijas).
Esto lo vas a conseguir diciéndole a tu login de WordPress que aparezca solamente cuando wp-admin o wp-login sea visitado por una determinada IP.
La IP un número único que define tu ubicación, desde el dispositivo que te conectes en concreto.
Para saber cuál es tu IP, hay muchas herramientas web. Puedes visitar esta web, y la verás enseguida.
TIP para usuarios avanzados: si estás usando un cambiador de VPN, cuidado, porque tu IP va a cambiar cada vez, ¡pero esto ya lo sabrás!
Una vez sepas cuál es tu IP, escribe (copia y pega más bien) este código en un .htaccess que debes crear en la raíz de la carpeta wp-admin de tu instalación de WordPress, y cambia las ” XXX.XXX.X.X” por tu IP.
order deny,allow
allow from XXX.XXX.X.X
deny from all
No dar pistas al fallar el logueo
Cuando accedes a wp-admin o wp-login y escribes el usuario y la contraseña, si has escrito cualquiera de los dos mal, tu login de WordPress te dará "pistas" de lo que has escrito mal.
Así es muy fácil saber si en lo que te has equivocado es en la contraseña, o en el usuario, o si cierto email existe dentro de la base de datos de esa web.
Es recomendable que cambies ese mensaje de error por algo que sea menos explicativo, como por ejemplo un mensaje de Ups, ha ocurrido algo y no puedes acceder.
Añade este código al archivo functions.php dentro de wp-content, en la plantilla que estés utilizando en tu instalación de WordPress.
function no_wordpress_errors(){
return 'Ups, ha ocurrido algo y no puedes acceder';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Requerir contraseñas fuertes
Si tienes una web con muchos usuarios, o donde se puedan registrar personas por sí mismas, es recomendable que les "obligues" a utilizar contraseñas fuertes.
Esto evitará problemas con las cuentas de tus usuarios, quejas, decepciones y protestas (aunque en teoría sea culpa suya, por no haber usado una contraseña fuerte).
Usa este plugin para tal fin.
Resetear contraseñas de todos los usuarios a la vez
Si tu web ha sido hackeada, y has entrado en pánico, respira: ¡Le ha pasado a las webs más grandes tipo Facebook o Twitter! (y en teoría ellos tienen lo más de lo más en anti-hackeos).
Quizás alguna vez te ha llegado un correo de alguna web a la que pertenezcas, pidiéndote que cambies tu contraseña por si acaso, ya que han sufrido un ataque y se han visto comprometidas miles de cuentas de usuario (a mi me pasó con eBay).
Esto lo hacen para prevenir malos usos por parte de las cuentas hackeadas, y para que los usuarios que no han sido atacados, se sientan más seguros al "tomar el control" y cambiar la contraseña de acceso.
Puedes hacer un reseteo general de todas las cuentas de usuarios a la vez en tu login de WordPress, utilizando este plugin para tal fin.
Nota: cuidado, muchos email tipo phishing hacen esto, imitando las páginas de login de las principales webs, para que escribas tu contraseña antigua, y de esta manera engañarte.
Limitar acceso a panel de administración
Cuando he construido webs con cuentas de usuario "normales", que en teoría no tienen por qué ver el panel de administración de toda la vida (el dashboard de WordPress que ya conoces, tras hacer login), me ha ayudado este plugin.
Lo que hace es que cuando un usuario normal intenta utilizar wp-admin o wp-login para acceder a su cuenta, no se vaya al famoso dashboard, si no que vaya a la página que asignes para tal fin (una simple redirección a una URL específica).
Desloguear automáticamente a usuarios idle
Aunque ya sea rizar el rizo, te recomiendo también que "eches" de tu web a los usuarios ya conectados, y que no hayan producido ningún tipo de actividad en un tiempo determinado (en inglés idle).
Esto nunca está de más, porque les obligarás a volver a la pantalla de login de WordPress y conectarse de nuevo.
Así se sentirán más seguros, y entenderán lo que ha pasado, ya que es por su propia seguridad.
Usar WPS Hide Login
Este no es el primer artículo que se escribe sobre seguridad en WordPress en el blog de Webempresa, así que te recomiendo que le eches un vistazo a este post sobre seguridad, en donde, utilizando el plugin de WPS Hide Login, se consigue cambiar las URLs del login de WordPress.
En dicho artículo aprenderás a que no salga la pantalla de login de WordPress al escribir wp-admin o wp-login.php después del dominio que tengas, si no que tú mism@ podrás elegir qué palabra hay que escribir para poder conectarse a tu web.
Vídeo
Aquí os dejo un pequeño vídeo de unos minutos de duración que explica de una manera sencilla y clara la diferencia entre wp-admin y wp-login.
A partir del minuto 2:56 podrás ver el procedimiento para proteger con contraseñas tu WordPress desde el cPanel.
Conclusiones
Y para terminar con este rollo (aunque necesario) sobre protección y seguridad para tu login de WordPress, te recomiendo echarle un vistazo a dos artículos:
-
10 sencillos consejos para reforzar la seguridad de WordPress usando .htaccess
- Aumenta la seguridad en WordPress, ¡protege tu inversión!
Y esto ha sido todo en cuanto a todo lo relacionado con el login de WordPress, wp-admin y wp-login.php. Espero que te haya quedado más claro que antes, y que a la vez hayas conocido un poquito más el fabuloso gestor de contenidos de WordPress.
Muchas gracias por haberte tomado el tiempo de leerlo y siempre es un placer ofrecerte artículos de este tipo. El equipo de soporte de Webempresa siempre estará aquí para ayudarte en lo que necesites.
¡Un abrazo muy fuerte nos vemos en el siguiente artículo!