Página de inicio de sesión personalizada para WordPress
Cómo cambiar el nombre de wp-login.php, crear una URL de inicio de sesión personalizada y proteger WordPress de ataques automatizados de fuerza bruta y bots.
English version: Custom login page for WordPress
La función de página de inicio de sesión personalizada es una excelente herramienta para reducir la superficie de ataque y eliminar los registros de spam. Es lo primero que debes habilitar en una instalación nueva de WordPress. Otra medida de seguridad muy recomendable es cambiar el nombre de la carpeta de plugins de WordPress .
Por qué es importante y por qué funciona
Según nuestros estudios en Cerber Lab , la mayoría de las herramientas y ataques de los hackers se basan en la suposición de que un sitio web víctima, que utiliza WordPress, tiene la página de inicio de sesión predeterminada y los plugins se encuentran en la carpeta predeterminada. Si bien se recomienda no usar valores predeterminados en ningún sitio web, muchos propietarios ignoran estos principios básicos, lo que permite a los hackers atacarlos con éxito. Y es por eso que los hackers adoran WordPress, y en cualquier momento vemos cientos de miles de sitios web pirateados.
Configura tu página de inicio de sesión personalizada
WP Cerber te permite cambiar de forma fácil y segura la URL de inicio de sesión predeterminada de WordPress , wp-login.php, por cualquier otra URL que necesites. En otras palabras, puedes configurar tu propia página de inicio de sesión personalizada (una URL de inicio de sesión personalizada significa lo mismo en este contexto) y ocultar wp-login.php a usuarios malintencionados, escáneres y bots. No necesitas editar el archivo .htaccess ni renombrar el archivo wp-login.php. Con WP Cerber, puedes configurarlo en cuestión de clics.
- Ve a la página de administración de Configuración principal del plugin.
- Introduce la nueva URL de inicio de sesión que desees en el campo "URL de inicio de sesión personalizada" y guarda la configuración. ¡Listo!
- Si utiliza un complemento de almacenamiento en caché, agregue su nueva URL de inicio de sesión a la lista de páginas que no se deben almacenar en caché.
- Asegúrate de que tu nueva URL de inicio de sesión funcione correctamente y puedas usarla para acceder. Hazlo en una ventana de incógnito del navegador. No cierres sesión en tu sitio web hasta que te asegures de que tu nueva URL de inicio de sesión funciona correctamente .
Custom WordPress login page settings
Cómo ocultar wp-login.php de bots y escáneres
Una vez habilitada la página de inicio de sesión para clientes, conviene ocultar la página de inicio de sesión predeterminada de WordPress para evitar ataques de fuerza bruta. Para ello, configure la opción " Procesar solicitudes de autenticación wp-login.php " en "Bloquear el acceso a wp-login.php". Al intentar acceder a la página, WP Cerber mostrará el error estándar "404 Not Found". Sin embargo, existe un inconveniente: si un atacante es lo suficientemente astuto, podría seguir escaneando el sitio web en busca de la página de inicio de sesión real.
Cómo deshabilitar wp-login.php
Otra opción más avanzada que debería considerar es deshabilitar wp-login.php sin bloquear el acceso. ¿Cómo funciona? Esta función exclusiva de WP Cerber impide cualquier intento de autenticación a través de wp-login.php. Al intentar iniciar sesión, WP Cerber simula el error predeterminado de contraseña incorrecta y cancela el proceso de autenticación del usuario. No importa qué contraseña se ingrese; nadie podrá iniciar sesión, incluso con la contraseña correcta. Para habilitar esta función, configure la opción "Procesar solicitudes de autenticación de wp-login.php " en "Denegar autenticación a través de wp-login.php".
Una advertencia para recordar
Si usted o su usuario olvidan que wp-login.php está deshabilitado y no se puede usar para iniciar sesión, ni usted ni su usuario podrán acceder al sitio web y quedarán bloqueados después de varios intentos de usar wp-login.php.
Si ha configurado "Procesar solicitudes de autenticación de wp-login.php" con un valor distinto al predeterminado, solo podrá usar su URL de inicio de sesión personalizada. Ni /wp-login.php ni /wp-admin/ podrán utilizarse para iniciar sesión.
Cosas importantes que debes saber
- Si utiliza un plugin de almacenamiento en caché como W3 Total Cache o WP Super Cache, debe agregar el slug de la nueva URL de inicio de sesión personalizada a la lista de páginas que no se deben almacenar en caché.
- En una instalación multisitio de WordPress, la nueva URL de inicio de sesión se configura para todos los sitios a nivel global.
- No elimine ni cambie el nombre del archivo wp-login.php manualmente. Tras actualizar WordPress a una versión más reciente, wp-login.php se restaurará y volverá a ser accesible para intrusos.
Obtén mayor seguridad con la autenticación de dos factores.
Considere habilitar la autenticación de dos factores (2FA) para proteger las cuentas de los administradores. La autenticación de dos factores proporciona una capa adicional de seguridad que requiere un segundo factor de identificación, además del nombre de usuario y la contraseña.
Más información: Cómo habilitar la autenticación de dos factores para WordPress
Solución de problemas de la función de URL de inicio de sesión personalizada
Habilitar la página de inicio de sesión personalizada puede provocar que algunos plugins dejen de funcionar. Si utilizas un plugin de personalización de la página de inicio de sesión o un plugin de inicio de sesión social, es posible que dicho plugin deje de funcionar. Para solucionar este problema, habilita la opción "Retrasar la representación de la página de inicio de sesión personalizada". Más información sobre esta configuración .
Si configuraste tu URL de inicio de sesión personalizada y la olvidaste después de un tiempo, primero revisa la bandeja de entrada del administrador del sitio para ver si hay un correo electrónico de notificación sobre tu nueva URL de inicio de sesión o cualquier informe semanal. En esos correos, podrás ver tu URL de inicio de sesión personalizada. Si no encuentras dicho correo, deberás reinstalar WP Cerber manualmente siguiendo los pasos que se indican a continuación.
- Elimine manualmente la carpeta del plugin /wp-cerber/ mediante FTP o cualquier administrador de archivos en el panel de control de su alojamiento.
- Inicia sesión en tu panel de WordPress como de costumbre, utilizando la URL predeterminada /wp-login.php o cualquier otro método que utilizaras antes de habilitar la URL de inicio de sesión personalizada.
- Instale y active el plugin WP Cerber Security como de costumbre.
- Ve a la página de configuración principal del plugin.
- Comprueba el campo URL de inicio de sesión personalizada . Ahí se mostrará la URL de inicio de sesión personalizada que debes usar. Recuérdala.
Próximos pasos que reforzarán la seguridad de tu WordPress
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.