Cómo cambiar y ocultar la URL de acceso a WordPress

Cómo cambiar la URL de acceso a WordPress - MARIO GÓMEZ LUELMO
Una de las primeras líneas de defensa de todo sitio WordPress debe ser ocultar o cambiar la URL de acceso a la administración de WordPress. Hoy vamos a aprender a ocultarla o cambiarla, aportando una buena barrera de seguridad a nuestro sitio web.

Índice de contenidos

En el manual del hacker novato uno de los primeros ejercicios debe ser, con diferencia, entrar mediante fuerza bruta a un sitio WordPress desde la pantalla de acceso, que por defecto siempre estará en https://dominio.com/wp-login.php. Así que solo tienen que poner en marcha su monitor de URLs con wp-login.php y empezar a lanzar ataques de fuerza bruta a toda web que tenga accesible esa URL.

Es por este motivo que una de las primeras líneas de defensa de todo sitio WordPress debe ser ocultar o cambiar la URL de acceso a la administración de WordPress, o proteger el acceso mediante la doble verificación. Hoy vamos a aprender lo primero: ocultar o cambiar la URL de acceso a la administración de WordPress.

Cambiar y ocultar la URL de acceso a WordPress con plugins

Una de las maneras más sencillas y libres de riesgo de cambiar y ocultar la URL de acceso a la administración de WordPress es hacerlo con plugins. Te evitas tener que modificar archivos del núcleo de WordPress o del servidor, y siempre puedes cambiar de plugin o de método de manera sencilla, además de que los desarrolladores se ocuparán de ir actualizando su plugin a medida de las crecientes necesidades de seguridad o mejoras solicitadas por los usuarios.

Lo mejor es que hay muchos plugins para este objetivo de seguridad, muchos…

Pero tranquilo. Elijas el que elijas no tienen pegas siempre que funcionen bien, y los que te voy a recomendar a continuación funcionan todos a la perfección:

WPS Hide Login

Este es uno de los plugins más populares y sencillos de usar para este objetivo de cambiar/ocultar la URL de acceso a WordPress.

Nada más instalarlo y activarlo pásate por sus ajustes, que encontrarás al final de la pantalla de ajustes generales de WordPress (me encanta), elige la nueva URL y, de paso la URL a la que quieres mandar a los que traten de acceder a la pantalla de acceso por defecto.

Guarda los cambios y ya está. ¿Quién dijo que fuese difícil? 😀

iThemes Security

Si ya utilizas el plugin de seguridad iThemes Security no necesitas instalar ningún plugin adicional, ya incorpora gratis esta herramienta de ocultar la pantalla de acceso a WordPress.

El ajuste se llama «Ocultar escritorio»

Simplemente configúralo eligiendo tu nueva URL de acceso y a la que quieres mandar a los que traten de acceder a la URL por defecto de WordPress.

Guarda los cambios y, además de tener ya oculta la URL de acceso a WordPress, todos los usuarios de la web recibirán un amable correo electrónico con la nueva URL de acceso ¿se puede hacer mejor?

All In One WP Security & Firewall

También este popular plugin de seguridad ofrece la característica de ocultar la URL de acceso a WordPress.

Pásate por los ajustes de fuerza bruta y ahí lo encontrarás. Solo tienes que activar la herramienta, elegir la nueva URL y guardar los cambios.

Cambiar y ocultar la URL de acceso a WordPress desde .htaccess

Si eres de los que prefieres tener todos tus códigos controlados y no depender de terceros es posible que te hayas planteado si hay otras maneras de cambiar la URL de acceso a WordPress.

Y sí, efectivamente, una de ellas es cambiar la URL de acceso a la administración de WordPress en un servidor Apache usando el archivo .htaccess. ¿Vamos a ello?

Aquí tienes el código que estabas esperando:

# BEGIN Ocultar URL login WP
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^tu_url_personalizada/?$ /wp-login.php?tu_clave_secreta [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^tu_url_personalizada/?$ /wp-login.php?tu_clave_secreta&redirect_to=/wp-admin/ [R,L]
RewriteRule ^tu_url_personalizada/?$ /wp-admin/?tu_clave_secreta [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)tudominio.com/tu_url_personalizada
RewriteCond %{QUERY_STRING} !^tu_clave_secreta
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?tu_clave_secreta [R,L]
</IfModule>
# END Ocultar URL login WP

¿Qué debes cambiar en el código anterior?

Para que el código anterior funcione correctamente debes cambiar algunos valores:

  1. tu_url_personalizada — Esta será tu nueva URL para acceder a la administración del sitio. Crea la tuya propia, por ejemplo escritorio o panel_de_control o mi_casa o algo así. Trata de que sea única porque los bots actuales aprenden bastante rápido las direcciones de acceso más utilizadas.
  2. tudominio.com — La dirección de tu web, sin https://. Cámbiala a la tuya.
  3. tu_clave_secreta — Esto debes reemplazarlo por una clave secreta que crees. Debería ser una cadena de letras y números en orden aleatorio preferentemente. Por ejemplo, 92dkew1e9383d4wjpe o algo similar. Guárdala en un lugar seguro por si la necesitas o quieres cambiarla.

Cuando guardes los cambios la página de acceso estará en tudominio.com/tu_url_personalizada, por ejemplo – ayudawp.com/mi_casa.

Lo he probado y funciona de maravilla, mostrando un error si tratas de acceder a las URLs de acceso y administración por defecto de WordPress.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ver más

  • Responsable: Mario Gómez Luelmo.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a 1&1 IONOS España S.L.U. que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.