WordPress login: cómo acceder y protegerlo
Cómo acceder a WordPress y hacerlo más seguro
Si acabas de instalar WordPress o te preguntas ¿cómo acceder al login de WordPress?, cómo llegar a la pantalla de acceso o login, en este post explicaré cómo hacerlo, además de una serie de consejos para proteger el acceso al panel de administración.
En este pequeño vídeo verás cómo llegar a WordPress login.
¿Cómo acceder: WordPress login URL?
La principal URL del inicio de sesión de WordPress es:
tudominio.com/wp-login.php
Con la siguiente dirección se comprueba si ya se ha iniciado sesión y ésta sigue activa.
https://www.tudominio.com/wp-admin
Si el usuario no tiene una sesión abierta el sistema le redirigirá a la pantalla de login, pero si ya tiene una sesión iniciada, esta url le llevará directamente al panel de control de WordPress. Por esta razón esta es una de las opciones más utilizadas para acceder a WordPress login.
Muchos hostings, especialmente los especializados en WordPress redirigen a WordPress login si escribimos alguna de las siguientes URL.
https://www.tudominio.com/login
https://www.tudominio.com/admin
En el caso de que tengas tu web instalada en un subdirectorio de tu dominio, como https://www.tudominio.com/wordpress, o en un subdominio, las URL de WordPress login serán las siguientes.
https://www.tudominio.com/wordpress/wp-admin
https://subdominio.tudominio.com/wp-admin
Ahora que ya sabes cómo acceder a WordPress, hablemos un poco de varias maneras de proteger WordPress login y dificultarle el trabajo a los hackers.
Buenas prácticas de WordPress login
Estas urls son las que dan acceso a WordPress por defecto y, por tanto, son las mismas en todas las webs. Por esta razón, son uno de los principales puntos de ataque que usan los hackers.
Para proteger el WordPress login hay varias opciones. Una de las más importantes es una buena contraseña. Normalmente, las que generan los instaladores de WordPress de las empresas de hosting suelen ser bastante seguras. Lo ideal es que sea larga y complicada y, por tanto, difícil de aprender de memoria, aunque no es necesario con servicios de almacenamiento de contraseñas como 1password.com o lastpass.com.
Otra gran opción es la de cambiar la url para acceder a WordPress.
Cómo proteger WordPress login
Hay varias medidas que podemos adoptar para proteger el acceso a WordPress. Una requiere cambiar la dirección de la página de acceso. Otra opción es limitar las veces que alguien puede intentar entrar con un usuario y/o contraseña incorrectos.
Cambiar la url de acceso
Una de las opciones más sencillas es utilizar un plugin gratuito como WPS Hide Login para cambiar la dirección en la que encontramos el formulario de acceso.
Basta con ir a Ajustes > WPS Hide Login en la barra lateral izquierda del panel de control de WordPress.
Solo tendremos que escribir una dirección propia en el campo URL de acceso.
Tras guardar los cambios la url de acceso se habrá modificado y para entrar en WordPress deberemos escribir la nueva url.
https://www.tudominio.com/direccionpropia
Cualquiera que ecriba una de las url por defecto recibirá un mensaje diciendo que no se encuentra esa página o que no tiene acceso a la misma. Si el que quiere atacar tu web no sabe donde está la página de login, no podra usarla. Sencillo, ¿verdad?
Limitar los intentos de inicio de sesión
Limitar los intentos de acceso es otra medida eficaz de seguridad. Para ello puedes utilizar un plugin gratuito como Limit Login Atempts Reloaded.

Las opciones son bastantes sencillas. De nuevo se llega a la pagina de configuración del plugin en el panel lateral izquierdo de WordPress, en Ajustes > Limit Login Atempts Reloaded.
La aplicación gratuita es la local, así que las opciones que debemos usar son las que figuran en el apartado Aplicación local.
En Bloqueo podemos definir el número máximo de intentos (está en 3 por defecto). También podemos definir el tiempo en el que alguien puede hacer tres intentos (o los que hayamos definido en el campo anterior) antes de ser bloqueado (se fija en 20 minutos por defecto).
Tras un bloqueo el atacante deberá esperar varias horas (12 horas por defecto) y tras varios bloqueos (4 bloqueos por defecto) se incrementará el tiempo de bloqueo (se fija en 24 horas por defecto).
Cuando el sistema detecta varios más intentos fallidos de acceso de los permitidos, se bloquea la IP de ese usuario impidiéndole seguir intentándolo.
Además, el plugin nos da la opción de enviarnos un correo electrónico después de un determinado número de bloqueos y en la opción registros podemos indicar listas de direcciones IP permitidas y no permitidas.
Además, el plugin nos da la opción de enviarnos un correo electrónico después de un determinado número de bloqueos y en la opción registros podemos indicar listas de direcciones IP permitidas y no permitidas.
Una opción mejor para proteger WordPress login
No soy partidario de usar varios plugins si puedo usar uno solo que haga las mismas acciones. Así que, a pesar de que los dos plugins anteriores son excelentes y funcionan bien, en mi opinión hay otra opción más adecuada y completa.
Se trata del plugin de seguridad All In One WP Security.

Se trata de un plugin muy completo, con muchas más opciones que las de proteger el acceso a WordPress. Sin embargo, solo hablare de las opciones directamente relacionadas con WordPress login. Si queréis una guía de configuración completa de All In One Wp Security tenéis la de los muchachos de Hostinet.
Para proteger el login de WordPress, una de las primeras cosas que podemos hacer es comprobar la fortaleza de nuestra contraseña con una opción muy interesante de All In One WP Security (AIOWPS).
Debemos ir, de nuevo, a la barra lateral izquierda de WordPress a Seguridad WP > Cuentas de usuario en la pestana Contraseña.
Escribe tu contraseña en el campo y verás como aumenta el tiempo que necesitaría un programa de fuerza bruta para adivinarla a medida que escribes. Como ves ‘una+contraseña+’ resistiría más de 3.200 años.
Cambiar la url de acceso
Vamos a Seguridad WP > Fuerza bruta. Aquí activamos esta opción marcando la casilla y debajo en URL de la página de acceso indicamos la dirección personalizada que deseemos utilizar.
Limitar los intentos de acceso a WordPress
Para utilziar las opciones de limite de intentos de login en WordPress debemos ir a Seguridad WP > Acceso de usuario, donde tenemos opciones muy similares a las del plugin Limit Login Attempts Reloaded.
Además, AIOWPS nos ofrece la opción de incluir un señuelo en el formulario de acceso de WordPress. Un señuelo o honeypot es un campo oculto que solo ven los robots utilizados para probar acceder o para los formularios de comentarios y colar spam.
Los robots de internet no distinguen y deben rellenar todos los campos que encuentren, así que si ese campo se rellena, el plugin bloquea el acceso.
Por supuesto hay otros plugins que también ofrecen las mismas opciones para la protección del inicio de sesión de WordPress como es el caso de otro plugin de seguridad WP Cerber.

Problemas más comunes en el inicio de sesión de WordPress
Aunque entrar en WordPress es una tarea rápida y sencilla, algunos de los problemas más comunes que pueden surgir tienen que ver con estas dos cuestiones:
Problemas relacionados con la contraseña
Problemas relacionados con las cookies
WordPress login: contraseña perdida u olvidada
Una vez hayas comprobado que su usuario es correcto, si sigue sin poder acceder, es posible que la contraseña que introduzcas no sea la correcta. Así que antes de llegar a bloquear el acceso por intentos fallidos (si has implementado el limite de intentos de inicio de sesión) prueba a utilizar la opción ¿Has olvidado tu contraseña?,que encontrarás en la parte de abajo de tu formulario de login WordPress.
Una vez pulses ese enlace te apareceá otro formulario en el que deberás escribir tu usuario o correo electrónico (el que esté registrado en WordPress) al que se te enviará una nueva contraseña.
WordPress login: problemas con las cookies
Para acceder a WordPress son necesarias las cookies. Si no están habilitadas no podrá acceder, así que lo primero que habra que comprobar es que las cookies estén autorizadas en el navegador.
Este problema puede surgir por varios motivos. A veces, simplemente, refrescando la página en el navegador se solucionará la cuestión. También puedes probar a vaciar la caché del navegador.

Conclusión
Como ves acceder a WordPress es muy sencillo. Además, si tienes una buena contraseña también será seguro aunque puedes implementar algunas de las medidas descritas en este post para mejorar aún más la seguridad.
Así que, ¿ya tienes claro cómo funciona WordPress login? ¿Sabes cómo acceder a WordPress?
Si tienes cualquier otra duda al respecto, no dudes en dejar un comentario. O si lo prefieres puedes seguir leyendo sobre WordPress en mi post ‘Aprende cómo instalar plugins en WordPress, en menos de 1 minuto‘.