Por Qué Es Buena Idea Cambiar tu URL de Acceso A WordPress (Y Cómo Hacerlo)

Por Jason Cosper
Por Qué Es Buena Idea Cambiar tu URL de Acceso A WordPress (Y Cómo Hacerlo) thumbnail

Una contraseña segura y única puede ayudarte a prevenir accesos no autorizados a tu sitio WordPress. Sin embargo, muchos atacantes tienen maneras creativas para salirse con la suya. Por eso, no siempre basta con proteger tu sitio adecuadamente contra los ataques.

Afortunadamente, puedes disminuir riesgos de que los hackers ingresen a tu sitio al trasladar tu página de inicio de sesión en WordPress a una nueva URL. Esto te dará una mejor oportunidad para defenderte de hackeos y ataques de fuerza bruta.

Este artículo te ilustrará sobre por qué deberías considerar el cambiar tu página de acceso en WordPress a una nueva URL. Luego de esto, te mostraremos cómo encontrar tu URL de inicio de sesión y modificarla, mediante dos métodos diferentes. ¡Comencemos!

Por Qué Deberías Cambiar tu URL de Inicio de Sesión de WordPress

Dado que WordPress no esconde tu página de inicio de sesión, cualquier usuario puede encontrarla, siempre y cuando conozca cómo WordPress estructura sus URLs. La estructura predeterminada para una página de acceso, luce algo así:

https://tusitioweb.com/wp-login.php

Esto significa que cuando alguien ingresa el nombre de tu sitio web, en la estructura de URL anterior, verá una página en el navegador que lo llevará a conectarse en el back end de tu sitio:

Página de inicio de sesión de WordPress.

Por cuestiones de simplicidad, muchas personas prefieren apegarse a la estructura predeterminada ‘wp-login’ para su inicio de sesión en WordPress. Sin embargo, al dejarla como viene de fábrica, estás de hecho entregando la mitad de tus credenciales de inicio de sesión a los atacantes cibernéticos. 

Piénsalo. Si tu contraseña es común, débil o fácil de adivinar, entregarás todo el acceso de tu sitio a un hacker, en bandeja de oro. Es una vulnerabilidad innecesaria y fácil de resolver.

Asegura tu página de inicio de sesión más a fondo, cambiando tu URL de acceso de WordPress. Como resultado, prevendrás accesos no autorizados a tu sitio y bajarás el riesgo ante ataques de fuerza bruta.

Cómo Encontrar Tu URL de Inicio de Sesión de WordPress

Como mencionábamos, WordPress tiene una estructura de acceso predeterminada y se ve así:

tusitioweb.com/wp-login.php.

Solo con añadir el sufijo a tu dominio, aterrizarás en tu página de inicio de sesión. Puedes acceder a tu panel en WordPress estando desconectado, escribiendo “tusitioweb.com/wp-admin” en la barra de búsqueda. Así también llegarás a tu página de acceso. 

Sin embargo, ten en cuenta que algunas compañías de alojamiento web cambian tu página de acceso de WordPress automáticamente, por seguridad. Por lo tanto, puede que tu URL de acceso ya esté personalizada y no tengas que hacer nada. ¿Cómo saberlo? Te lo mostraremos en la siguiente sección.

Cómo Encontrar Tu URL Personalizada de Inicio de Sesión de WordPress

Si tu proveedor de alojamiento cambió tu URL de acceso por seguridad, normalmente podrás recuperarla de un correo electrónico, o localizarla en tu panel de control. Algunos servicios te dan enlaces con acceso de un clic a tu panel administrativo de WordPress; algo muy útil.

Sin embargo, si no puedes identificar tu URL de acceso personalizada con una de estas opciones, puedes hacerlo manualmente. Solo necesitas conectarte a tu sitio mediante SFTP

Puedes usar un cliente como FileZilla. Ten en mente que necesitarás tus credenciales FTP, las cuales te serán dadas por tu compañía de alojamiento web. Luego abre la carpeta raíz que contiene el enlace de inicio de sesión. Normalmente, se llama public_html:

Carpeta raíz de tu sitio web en el Administrador de Archivos

Encuentra y abre el archivo wp-login.php, sin olvidar la línea llamada site_url. Esto te llevará a una línea de código que especificará tu URL de acceso personalizada.

Cómo Cambiar Tu URL de Acceso a WordPress (2 Formas)

Ahora que ya sabes dónde está tu URL de inicio de sesión de WordPress. Con estos métodos podrás cambiarla:

Método 1: Cambia Tu URL De Acceso A WordPress Con Un Plugin

Un plugin es el modo más sencillo para que cambies tu URL de acceso a WordPress. Afortunadamente, hay muchos disponibles que te permitirán esta funcionalidad. 

WPS Hide Login es una gran opción, dado que es ligera. Te permitirá cambiar de forma segura tu página de inicio de sesión de WordPress, a lo que tú desees:

Plugin WPS Hide Login.

Mejor aún, WPS Hide Login también previene que todos los usuarios desconectados accedan a los directorios wp-admin y wp-login.php.

Para comenzar, instala y activa el plugin. Luego, dirígete a Settings > WPS Hide Login:

Configura el plugin WPS Hide Login en WordPress.

Aquí, puedes redactar una nueva URL de acceso y hacer clic en el botón Save Changes. Tan simple como eso. El plugin, además, tiene un activo foro de soporte, por si necesitas una mano.

No olvides que cuando el plugin esté activo y hayas hecho tus cambios, no podrás volver a tu antigua pantalla de inicio de sesión. En cambio, serás dirigido al nuevo acceso que creaste.

Siguiendo nuestro ejemplo, ingresa “/login” luego del dominio para acceder a tu sitio. Ten en cuenta que puedes revertir los cambios y usar wp-admin y wp-login.php, si desactivas el plugin.

Recibe Contenido Directamente en Tu Bandeja de Entrada

Suscríbete a nuestro blog y recibe contenido grandioso como este directamente en tu bandeja de entrada.

Método 2: Cambia Tu URL de Acceso a WordPress Editando Tu Archivo wp-login.php

Este segundo método tiene su truco y solo se lo recomendamos a usuarios experimentados. Dicho esto, te recomendamos hacer una copia de seguridad antes de hacer cambios en tu sitio. Solo por si algo sale mal.

Es importante que sepas que tus cambios pueden revertirse a las configuraciones anteriores, una vez actualices tu tema. Sin embargo, si usas un tema child no tendrás que preocuparte.

Primero, necesitas acceder a tu carpeta raíz. Hazlo, mediante tu Administrador de Archivos o un cliente FTP. De nuevo, busca la carpeta llamada public_html:

Carpeta Raíz de tu sitio web.

En la carpeta raíz, localiza tu archivo wp-login.php. Ahí es donde se guarda el código que genera la página de inicio de sesión de tu sitio:

Archivo “wp-login.php”

Una vez encuentras el archivo, puedes descargar una copia a tu computador. Luego, abre el archivo con un editor de texto como Sublime o Notepad++. 

Lo recomendable es usar un editor con herramienta de “buscar y reemplazar”. Así podrás cambiar más rápido todas las instancias existentes de URLs de acceso a WordPress.

Si tienes acceso a él, usa la herramienta de búsqueda hasta hallar cada instancia de la línea wp_login_url:

Editando el archivo “wp-login.php” para cambiar la URL de inicio de sesión de WordPress.

Entonces, cambia esas líneas por la URL nueva que quieras. Recuerda que puedes hacerlo tan simple y sencillo como quieras, o tan largo, original y diferente de la creada por defecto, como tú lo desees. Por ejemplo, puedes preferir algo como access.php o wp-new-login. 

Cuando ya hayas hecho tus cambios, guarda y cierra el editor. Luego, renombra el archivo con el nombre de la URL nueva que elegiste (como access.php). 

Ahora, carga el archivo nuevo a tu directorio raíz, mediante tu cliente FTP o el Administrador de Archivos. Selecciona el archivo de acceso modificado desde tu computador. Luego registra el nuevo archivo de acceso, con el filtro de gancho “login_url”. Así, podrás usar cualquier página como tu página de acceso, siempre que tenga un formulario de inicio de sesión.

Para esto, ve a wp-content > themes para encontrar el archivo de funciones de tu tema. Selecciona tu tema activo y abre el archivo functions.php:

Encontrando el archivo de funciones de tu tema.

Hecho esto, pega la siguiente línea de código en el archivo: 

/*
*Change WP Login file URL using “login_url” filter hook
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}

Recuerda revisar todo y guardar los cambios. 

No olvides probar tu nuevo acceso antes de borrar el archivo antiguo. Para esto, solo escribe el dominio de tu sitio y añade la nueva URL de acceso al final. Si aparece el formulario de ingreso a WordPress, todo quedó bien. Borra el archivo wp-login.php original.

Más Formas De Asegurar Tu Proceso de Acceso a WordPress 

Cambiar tu URL de acceso a WordPress te ayudará a fortalecer la seguridad de tu sitio. Pero puedes ir más allá. Asegura tu proceso de inicio de sesión de WordPress, con estos métodos:

1.  Limita Los Intentos de Acceso

Cuando estableces un límite de intentos de inicio de sesión, puedes detener a hackers y bots que intenten entrar a tu sitio con muchos nombres de usuarios y claves. Esto es fundamental, pues los ataques de fuerza bruta son el segundo tipo de amenaza en línea más común.

La manera más simple de hacerlo, es con un plugin como Limit Login Attempts Reloaded:

Plugin Limit Login Attempts Reloaded.

Este plugin comenzará a trabajar tan pronto como quede activado en tu sitio web. Por defecto, los usuarios tendrán cuatro oportunidades para conectarse, antes de perder acceso al área administrativa de WordPress. Pero ten en cuenta que puedes modificar esta condición, en las configuraciones del plugin:

Configura el plugin Limit Login Attempts Reloaded en WordPress.

Podrás determinar por cuánto tiempo permanecerán bloqueados estos usuarios. También, verás en tu panel cuántos ataques de fuerza bruta han sido bloqueados por el plugin. Además, en la pestaña Logs podrás bloquear algunas direcciones IP en específico.

2. Implementa Autenticación de Dos Factores

La autenticación de dos factores o dos pasos, requiere que los usuarios ingresen algo más que sus credenciales de acceso regulares. Ya sea mediante un mensaje de texto SMS, un email o una app, se les enviará una segunda clave en tiempo real, para que la ingresen:

Un ejemplo autenticación de doble factor

Como los bots y los hackers no podrán acceder a tu segunda clave, estarás previniendo el acceso no autorizado a tu sitio. Una de las mejores maneras de añadir esta funcionalidad a tu sitio, es con un plugin como miniOrange:

Plugin de doble autenticación de miniOrange.

Una vez lo actives, ve al link de miniOrange en tu espacio de administrador y busca la sección ‘Account’. Configurar este plugin te tomará muy poco tiempo; inicia registrándote, para tener tu cuenta. Luego, recibirás un código para verificar tu correo.

Ve a Two Factor y busca la pestaña Setup Two Factor. Entonces, elige tu método de autenticación favorito, entre Google Authenticator, mensajes SMS, QRs, o preguntas de seguridad:

Activando la autenticación de dos factores en WordPress con miniOrange.

Por último, en Settings podrás activar la autenticación de dos factores para todos los usuarios, o solo para algunos. También podrás mostrar este tema de modo rápido en tu página inicial.

3. Utiliza CAPTCHA

El plugin reCAPTCHA le dará mayor seguridad a tu sitio web, mediante el CAPTCHA. Este se usa para controlar el acceso a páginas con contenido delicado. 

Puede ayudar a determinar si hay bots creando spam o tratando, también, de acceder a la información personal que diligencian tus usuarios al llenar formularios de acceso, o de otra clase.

Como en las opciones anteriores, puedes activar CAPTCHA en tu sitio con un plugin. Con reCaptcha, puedes añadir una casilla simple de CAPTCHA a cualquier formulario, así:

Plugin reCaptcha.

Debes instalar y activar este plugin en WordPress. Y luego registrar tu sitio con Google para recibir tu clave Google API. En WordPress, puedes ir a Google Captcha > Settings, ingresar tu contraseña y luego determinar cómo deseas que funcionen tus CAPTCHAs.

4. Fortalece La Seguridad De Tus Contraseñas

Cambiar la URL de acceso a WordPress es una gran idea para no depender de sufijos de administrador, los cuales pueden ser fáciles de adivinar. Pero si tus contraseñas son débiles, o usas la misma para varias cuentas, tu sitio estará en riesgo de todos modos.

Ten en cuenta que solo un 24% de estadounidenses usuarios de internet, emplean contraseñas distintas para cada cuenta. Por otro lado, un 44% de usuarios utiliza un administrador de claves para generar y guardar sus contraseñas de forma segura.

Pensando en eso, te sugerimos usar administradores de contraseñas, como LastPass, para una mayor tranquilidad. Además, es mejor que tengas claves largas, que combinen mayúsculas, números, caracteres especiales y minúsculas:

Administrador de contraseñas LastPass.

No olvides que no solo tus contraseñas deben ser fuertes, sino también las de tus usuarios. Acláraselo en el email de bienvenida que les llega una vez se registran a tu sitio.

Cambiar Tu URL de Acceso a WordPress Mejora Tu Seguridad

Nadie puede prometer seguridad absoluta en un sitio de WordPress. Afortunadamente, puedes evitar amenazas si cambias tu URL de acceso a WordPress. Así, tu página de acceso será casi imposible de hallar, a menos claro, que tú mismo la reveles.

Estas son dos formas de cambiar la URL de acceso a WordPress:

  1. Usa un plugin como WPS Hide Login.
  2. Edita tu archivo wp-login.php.

Otra gran manera de fortalecer tu seguridad en WordPress, es contratar un servicio de alojamiento web de alta calidad. En DreamHost ofrecemos soluciones para todas tus necesidades, tanto si prefieres alojamiento administrado de WordPress o alojamiento administrado VPS. ¡Conoce aquí nuestros planes para ti!

Haz Más Con DreamPress

¡Los usuarios de DreamPress Plus y Pro obtienen acceso a Jetpack Professional (y más de 200 temas prémium) sin costo adicional!

Adquiere Tu Plan Hoy

Photo of Jason Cosper
Sobre el Autor: Jason Cosper

Jason es el Promotor de Productos de WordPress de DreamHost, ubicado en Bakersfield, CA. Actualmente está trabajando para mejorar nuestro producto DreamPress aún más. En su tiempo libre, le gusta acurrucarse en el sofá y ver películas de terror con su esposa Sarah y tres perros muy pequeños. Síguelo en Twitter.