Security Blog

Página de inicio de sesión personalizada para WordPress

Cómo cambiar el nombre de wp-login.php, crear una URL de inicio de sesión personalizada y proteger WordPress de ataques automatizados de fuerza bruta y bots.


English version: Custom login page for WordPress


La función de página de inicio de sesión personalizada es una gran herramienta para reducir la superficie de ataque y eliminar los registros de spam. Es lo primero que debes habilitar en un WordPress recién instalado. Otra medida de seguridad muy recomendable es cambiar el nombre de la carpeta de complementos de WordPress .

Por qué es importante y por qué funciona

Según nuestros estudios en Cerber Lab , la mayoría de las herramientas y ataques de los piratas informáticos se basan en suposiciones de que el sitio web víctima con WordPress tiene la página de inicio de sesión predeterminada y los complementos se encuentran en la carpeta predeterminada. Aunque se recomienda no utilizar valores predeterminados en ningún sitio web, muchos propietarios de sitios web ignoran estos principios simples, lo que permite a los piratas informáticos atacarlos con éxito. Y es por eso que a los piratas informáticos les encanta WordPress y, en un momento dado, vemos cientos de miles de sitios web pirateados.

Configure su página de inicio de sesión personalizada

WP Cerber le permite cambiar de forma fácil y segura la URL de inicio de sesión predeterminada de WordPress wp-login.php a cualquier URL que necesite. En otras palabras, puede configurar su página de inicio de sesión personalizada única y conocida (una URL de inicio de sesión personalizada significa lo mismo en este contexto) y ocultar wp-login.php de malos actores, escáneres y bots. No es necesario editar el archivo .htaccess ni cambiar el nombre del archivo wp-login.php. Con WP Cerber podrás configurarlo en varios clics.

  1. Vaya a la página de administración de Configuración principal del complemento.
  2. Ingrese la nueva URL de inicio de sesión que desee en el campo URL de inicio de sesión personalizada y guarde la configuración. Eso es todo.
  3. Si utiliza un complemento de almacenamiento en caché, agregue su nueva URL de inicio de sesión a la lista de páginas que no se deben almacenar en caché.
  4. Asegúrese de que su nueva URL de inicio de sesión funcione correctamente y pueda usarla para iniciar sesión. Hágalo en una ventana del navegador de incógnito. No cierre sesión en su sitio web hasta que se asegure de que su nueva URL de inicio de sesión funcione bien .
WordPress login security and custom login page settings

Custom WordPress login page settings

Cómo ocultar wp-login.php de bots y escáneres

Una vez que haya habilitado la página de inicio de sesión del cliente, tiene sentido ocultar la página de inicio de sesión predeterminada de WordPress para evitar que se produzcan ataques de fuerza bruta. Para lograr esto, configure la configuración Procesamiento de solicitudes de autenticación de wp-login.php en "Bloquear el acceso a wp-login.php". Al intentar acceder a la página, WP Cerber mostrará la página estándar "404 No encontrado". Sólo hay un inconveniente en el que deberías pensar. Si un atacante es lo suficientemente inteligente, puede continuar escaneando el sitio web en busca de su página de inicio de sesión real.

Cómo deshabilitar wp-login.php

Otra opción más avanzada que debes considerar es deshabilitar wp-login.php sin bloquear el acceso a él. ¿Como funciona? Esta característica única de WP Cerber detiene cualquier intento de autenticación a través de wp-login.php. Al intentar iniciar sesión, WP Cerber imita el error de contraseña incorrecta predeterminado y cancela el proceso de autenticación del usuario. No importa qué contraseña se ingrese; nadie puede iniciar sesión ni siquiera con la contraseña correcta. Para habilitar esta función, establezca la configuración Procesamiento de solicitudes de autenticación de wp-login.php en "Denegar autenticación a través de wp-login.php".

Una advertencia para recordar

Si usted o su usuario olvidan que wp-login.php está deshabilitado y no se puede usar para iniciar sesión, usted o su usuario nunca podrán iniciar sesión en el sitio web y quedarán bloqueados después de varios intentos de usar wp-login.php.

Si ha configurado "Procesando solicitudes de autenticación de wp-login.php" en cualquier valor que no sea el predeterminado, solo podrá usar su URL de inicio de sesión personalizada. Ni /wp-login.php ni /wp-admin/ ya no se pueden utilizar para iniciar sesión.

Cosas importantes que necesitas saber

  • Si utiliza un complemento de almacenamiento en caché como W3 Total Cache o WP Super Cache, debe agregar el slug de la nueva URL de inicio de sesión personalizada a la lista de páginas que no se deben almacenar en caché.
  • Para una instalación multisitio de WordPress, la nueva URL de inicio de sesión se establece para todos los sitios a nivel mundial.
  • No elimine ni cambie el nombre del archivo wp-login.php manualmente. Después de actualizar su WordPress a una versión más nueva, wp-login.php será restaurado y accesible nuevamente para intrusos.

Hazlo más seguro con la autenticación de dos factores

Considere habilitar 2FA para proteger las cuentas de los administradores. La autenticación de dos factores proporciona una capa adicional de seguridad que requiere un segundo factor de identificación más allá del nombre de usuario y la contraseña.

Saber más: Cómo habilitar la autenticación de dos factores para WordPress

Solución de problemas de la función URL de inicio de sesión personalizada

Habilitar la página de inicio de sesión personalizada puede provocar que algunos complementos dejen de funcionar. Si utiliza un complemento de personalización de la página de inicio de sesión o un complemento de inicio de sesión social, es posible que dicho complemento ya no funcione. Para solucionar este problema, habilite "Aplazar la presentación de la página de inicio de sesión personalizada". Lea más sobre esta configuración .

Si configuró su URL de inicio de sesión personalizada y después de un tiempo la olvidó, en primer lugar, verifique la casilla de correo electrónico del administrador del sitio para recibir una notificación por correo electrónico sobre su nueva URL de inicio de sesión o cualquier informe semanal por correo electrónico. En esos correos electrónicos, puede ver su URL de inicio de sesión personalizada. Si no puede encontrar dicho correo electrónico, debe reinstalar WP Cerber manualmente siguiendo los pasos a continuación.

  1. Elimine la carpeta del complemento /wp-cerber/ manualmente usando FTP o cualquier Administrador de archivos en su panel de control de alojamiento.
  2. Inicie sesión en su panel de WordPress como de costumbre utilizando la URL predeterminada /wp-login.php u otra forma que solía utilizar antes de habilitar la URL de inicio de sesión personalizada.
  3. Instale y active el complemento WP Cerber Security como de costumbre.
  4. Vaya a la página de configuración principal del complemento.
  5. Marque el campo URL de inicio de sesión personalizada . Muestra su URL de inicio de sesión personalizada que debe usar. Recuerdalo.

Próximos pasos que fortalecerán su seguridad de WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to ChrisW
Cancel Reply