Security Blog

Página de inicio de sesión personalizada para WordPress

Cómo cambiar el nombre de wp-login.php, crear una URL de inicio de sesión personalizada y proteger WordPress de ataques automatizados de fuerza bruta y bots.


English version: Custom login page for WordPress


La función de página de inicio de sesión personalizada es una excelente herramienta para reducir la superficie de ataque y eliminar los registros de spam. Es lo primero que debes habilitar en un WordPress recién instalado. Otra medida de seguridad muy recomendable es renombrar la carpeta de plugins de WordPress .

Por qué es importante y por qué funciona

Según nuestros estudios en Cerber Lab , la mayoría de las herramientas y ataques de hackers se basan en la suposición de que el sitio web víctima, basado en WordPress, tiene la página de inicio de sesión predeterminada y los plugins se encuentran en la carpeta predeterminada. Aunque se recomienda no usar valores predeterminados en ningún sitio web, muchos propietarios ignoran estos sencillos principios, lo que permite que los hackers los ataquen con éxito. Por eso los hackers adoran WordPress, y en cualquier momento, vemos cientos de miles de sitios web pirateados.

Configura tu página de inicio de sesión personalizada

WP Cerber te permite cambiar de forma fácil y segura la URL de inicio de sesión predeterminada de WordPress , wp-login.php, a la que necesites. En otras palabras, puedes configurar tu página de inicio de sesión personalizada, única y accesible (una URL de inicio de sesión personalizada significa lo mismo en este contexto) y ocultar wp-login.php de usuarios maliciosos, escáneres y bots. No necesitas editar el archivo .htaccess ni renombrar el archivo wp-login.php. Con WP Cerber, puedes configurarlo en solo unos clics.

  1. Vaya a la página de administración de configuración principal del complemento.
  2. Introduce la nueva URL de inicio de sesión deseada en el campo "URL de inicio de sesión personalizada" y guarda la configuración. Listo.
  3. Si utiliza un complemento de almacenamiento en caché, agregue su nueva URL de inicio de sesión a la lista de páginas que no se almacenarán en caché.
  4. Asegúrate de que tu nueva URL de inicio de sesión funcione correctamente y puedas usarla para iniciar sesión. Hazlo en una ventana de incógnito. No cierres sesión en tu sitio web hasta que estés seguro de que tu nueva URL de inicio de sesión funciona correctamente .
WordPress login security and custom login page settings

Custom WordPress login page settings

Cómo ocultar wp-login.php de bots y escáneres

Una vez habilitada la página de inicio de sesión del cliente, conviene ocultar la página de inicio de sesión predeterminada de WordPress para evitar ataques de fuerza bruta. Para ello, configure la opción "Procesando solicitudes de autenticación de wp-login.php " en "Bloquear el acceso a wp-login.php". Al intentar acceder a la página, WP Cerber mostrará el error "404 No encontrado". Solo hay una desventaja que debe considerar: si un atacante es lo suficientemente astuto, podría seguir escaneando el sitio web en busca de su página de inicio de sesión real.

Cómo deshabilitar wp-login.php

Otra opción más avanzada que debería considerar es deshabilitar wp-login.php sin bloquear el acceso. ¿Cómo funciona? Esta función única de WP Cerber impide cualquier intento de autenticación a través de wp-login.php. Al intentar iniciar sesión, WP Cerber imita el error predeterminado de contraseña incorrecta y cancela el proceso de autenticación del usuario. No importa la contraseña introducida; nadie puede iniciar sesión, ni siquiera con la contraseña correcta. Para habilitar esta función, configure la opción "Procesando solicitudes de autenticación de wp-login.php" en "Denegar la autenticación a través de wp-login.php".

Una advertencia para recordar

Si usted o su usuario olvidan que wp-login.php está deshabilitado y no se puede usar para iniciar sesión, usted o su usuario nunca podrán iniciar sesión en el sitio web y quedarán bloqueados después de varios intentos de usar wp-login.php.

Si has configurado "Procesando solicitudes de autenticación de wp-login.php" con un valor distinto al predeterminado, solo podrás usar tu URL de inicio de sesión personalizada. Ni /wp-login.php ni /wp-admin/ podrán usarse para iniciar sesión.

Cosas importantes que debes saber

  • Si usa un complemento de almacenamiento en caché como W3 Total Cache o WP Super Cache, debe agregar el slug de la nueva URL de inicio de sesión personalizada a la lista de páginas que no se almacenarán en caché.
  • Para una instalación multisitio de WordPress, la nueva URL de inicio de sesión se configura para todos los sitios a nivel global.
  • No elimine ni renombre manualmente el archivo wp-login.php. Tras actualizar WordPress a una versión más reciente, wp-login.php se restaurará y volverá a estar accesible para intrusos.

Hazlo más seguro con la autenticación de dos factores

Considere habilitar la autenticación de dos factores (A2F) para proteger las cuentas de los administradores. La autenticación de dos factores proporciona una capa adicional de seguridad que requiere un segundo factor de identificación, además del nombre de usuario y la contraseña.

Saber más: Cómo habilitar la autenticación de dos factores para WordPress

Solución de problemas de la función URL de inicio de sesión personalizada

Habilitar la página de inicio de sesión personalizada puede provocar que algunos plugins dejen de funcionar. Si usas un plugin de personalización de la página de inicio de sesión o un plugin de inicio de sesión con redes sociales, es posible que ya no funcione. Para solucionar este problema, activa "Aplazar la visualización de la página de inicio de sesión personalizada". Más información sobre esta configuración .

Si configuraste tu URL de inicio de sesión personalizada y la olvidaste, primero revisa el correo electrónico del administrador del sitio para ver si has recibido una notificación sobre tu nueva URL de inicio de sesión o algún informe semanal. En esos correos, verás tu URL de inicio de sesión personalizada. Si no la encuentras, debes reinstalar WP Cerber manualmente siguiendo estos pasos.

  1. Elimine la carpeta del complemento /wp-cerber/ manualmente mediante FTP o cualquier administrador de archivos en su panel de control de alojamiento.
  2. Inicie sesión en su panel de WordPress como de costumbre utilizando la URL predeterminada /wp-login.php u otro método que utilice antes de habilitar la URL de inicio de sesión personalizada.
  3. Instale y active el complemento WP Cerber Security como de costumbre.
  4. Vaya a la página de configuración principal del complemento.
  5. Revisa el campo "URL de inicio de sesión personalizada" . Muestra la URL de inicio de sesión personalizada que debes usar. Recuérdala.

Próximos pasos que fortalecerán la seguridad de tu WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments