WordPress login: cómo acceder y protegerlo

Cómo acceder a WordPress y hacerlo más seguro

,

Si acabas de instalar WordPress o te preguntas ¿cómo acceder al login de WordPress?, cómo llegar a la pantalla de acceso o login, en este post explicaré cómo hacerlo, además de una serie de consejos para proteger el acceso al panel de administración.

En este pequeño vídeo verás cómo llegar a WordPress login.

URL de WordPress login admin
WordPress login. Vídeo.
URL de WordPress login admin

¿Cómo acceder: WordPress login URL?
La principal URL del inicio de sesión de WordPress es:

tudominio.com/wp-login.php

Con la siguiente dirección se comprueba si ya se ha iniciado sesión y ésta sigue activa.

https://www.tudominio.com/wp-admin

Si el usuario no tiene una sesión abierta el sistema le redirigirá a la pantalla de login, pero si ya tiene una sesión iniciada, esta url le llevará directamente al panel de control de WordPress. Por esta razón esta es una de las opciones más utilizadas para acceder a WordPress login.

Muchos hostings, especialmente los especializados en WordPress redirigen a WordPress login si escribimos alguna de las siguientes URL.

https://www.tudominio.com/login
https://www.tudominio.com/admin

En el caso de que tengas tu web instalada en un subdirectorio de tu dominio, como https://www.tudominio.com/wordpress, o en un subdominio, las URL de WordPress login serán las siguientes.

https://www.tudominio.com/wordpress/wp-admin
https://subdominio.tudominio.com/wp-admin

Ahora que ya sabes cómo acceder a WordPress, hablemos un poco de varias maneras de proteger WordPress login y dificultarle el trabajo a los hackers.

Buenas prácticas de WordPress login

Estas urls son las que dan acceso a WordPress por defecto y, por tanto, son las mismas en todas las webs. Por esta razón, son uno de los principales puntos de ataque que usan los hackers.

Para proteger el WordPress login hay varias opciones. Una de las más importantes es una buena contraseña. Normalmente, las que generan los instaladores de WordPress de las empresas de hosting suelen ser bastante seguras. Lo ideal es que sea larga y complicada y, por tanto, difícil de aprender de memoria, aunque no es necesario con servicios de almacenamiento de contraseñas como 1password.com o lastpass.com.

Otra gran opción es la de cambiar la url para acceder a WordPress.

Cómo proteger WordPress login

Hay varias medidas que podemos adoptar para proteger el acceso a WordPress. Una requiere cambiar la dirección de la página de acceso. Otra opción es limitar las veces que alguien puede intentar entrar con un usuario y/o contraseña incorrectos.

Cambiar la url de acceso

Una de las opciones más sencillas es utilizar un plugin gratuito como WPS Hide Login para cambiar la dirección en la que encontramos el formulario de acceso.

WordPress login. Imagen portada página plugin WPS Hide Login
WPS Hide Login plugin paa ocultar inicio de sesión WordPress.

Basta con ir a Ajustes > WPS Hide Login en la barra lateral izquierda del panel de control de WordPress.

Solo tendremos que escribir una dirección propia en el campo URL de acceso.

WordPress login. Ajustes del plugin WPS Hide Login
Opciones de WPS Hide Login plugin.

Tras guardar los cambios la url de acceso se habrá modificado y para entrar en WordPress deberemos escribir la nueva url.

https://www.tudominio.com/direccionpropia

Cualquiera que ecriba una de las url por defecto recibirá un mensaje diciendo que no se encuentra esa página o que no tiene acceso a la misma. Si el que quiere atacar tu web no sabe donde está la página de login, no podra usarla. Sencillo, ¿verdad?

Limitar los intentos de inicio de sesión

Limitar los intentos de acceso es otra medida eficaz de seguridad. Para ello puedes utilizar un plugin gratuito como Limit Login Atempts Reloaded.

Limit login attempts plugin.
Limit login attempts plugin.


Las opciones son bastantes sencillas. De nuevo se llega a la pagina de configuración del plugin en el panel lateral izquierdo de WordPress, en Ajustes > Limit Login Atempts Reloaded.

La aplicación gratuita es la local, así que las opciones que debemos usar son las que figuran en el apartado Aplicación local.

WordPress login. Ajustes el plugin Limit Login Atempts Reloaded
Opciones del Limit Login Attempts Reloaded plugin.

En Bloqueo podemos definir el número máximo de intentos (está en 3 por defecto). También podemos definir el tiempo en el que alguien puede hacer tres intentos (o los que hayamos definido en el campo anterior) antes de ser bloqueado (se fija en 20 minutos por defecto).

Tras un bloqueo el atacante deberá esperar varias horas (12 horas por defecto) y tras varios bloqueos (4 bloqueos por defecto) se incrementará el tiempo de bloqueo (se fija en 24 horas por defecto).

Cuando el sistema detecta varios más intentos fallidos de acceso de los permitidos, se bloquea la IP de ese usuario impidiéndole seguir intentándolo.
Además, el plugin nos da la opción de enviarnos un correo electrónico después de un determinado número de bloqueos y en la opción registros podemos indicar listas de direcciones IP permitidas y no permitidas.

Además, el plugin nos da la opción de enviarnos un correo electrónico después de un determinado número de bloqueos y en la opción registros podemos indicar listas de direcciones IP permitidas y no permitidas.

Una opción mejor para proteger WordPress login

No soy partidario de usar varios plugins si puedo usar uno solo que haga las mismas acciones. Así que, a pesar de que los dos plugins anteriores son excelentes y funcionan bien, en mi opinión hay otra opción más adecuada y completa.

Se trata del plugin de seguridad All In One WP Security.

AIOWPS plugin de seguridad.
AIOWPS plugin de seguridad.


Se trata de un plugin muy completo, con muchas más opciones que las de proteger el acceso a WordPress. Sin embargo, solo hablare de las opciones directamente relacionadas con WordPress login. Si queréis una guía de configuración completa de All In One Wp Security tenéis la de los muchachos de Hostinet.

Para proteger el login de WordPress, una de las primeras cosas que podemos hacer es comprobar la fortaleza de nuestra contraseña con una opción muy interesante de All In One WP Security (AIOWPS).

Debemos ir, de nuevo, a la barra lateral izquierda de WordPress a Seguridad WP > Cuentas de usuario en la pestana Contraseña.

WordPress login. Herramienta para comprobar la fueza de las contraseñas en el plugin All In One WP Security
El comprobador de contraseñas de AIOWPS.

Escribe tu contraseña en el campo y verás como aumenta el tiempo que necesitaría un programa de fuerza bruta para adivinarla a medida que escribes. Como ves ‘una+contraseña+’ resistiría más de 3.200 años.

Cambiar la url de acceso

Vamos a Seguridad WP > Fuerza bruta. Aquí activamos esta opción marcando la casilla y debajo en URL de la página de acceso indicamos la dirección personalizada que deseemos utilizar.

WordPress login. Ajustes del plugin All In One WP Security
Cambiar la ruta de acceso a WordPress en AIOWPS.

Limitar los intentos de acceso a WordPress

Para utilziar las opciones de limite de intentos de login en WordPress debemos ir a Seguridad WP > Acceso de usuario, donde tenemos opciones muy similares a las del plugin Limit Login Attempts Reloaded.

Además, AIOWPS nos ofrece la opción de incluir un señuelo en el formulario de acceso de WordPress. Un señuelo o honeypot es un campo oculto que solo ven los robots utilizados para probar acceder o para los formularios de comentarios y colar spam.

Los robots de internet no distinguen y deben rellenar todos los campos que encuentren, así que si ese campo se rellena, el plugin bloquea el acceso.

Por supuesto hay otros plugins que también ofrecen las mismas opciones para la protección del inicio de sesión de WordPress como es el caso de otro plugin de seguridad WP Cerber.

WP Cerber plugin.
WP Cerber plugin.

Problemas más comunes en el inicio de sesión de WordPress

Aunque entrar en WordPress es una tarea rápida y sencilla, algunos de los problemas más comunes que pueden surgir tienen que ver con estas dos cuestiones:

Problemas relacionados con la contraseña
Problemas relacionados con las cookies

WordPress login: contraseña perdida u olvidada

Una vez hayas comprobado que su usuario es correcto, si sigue sin poder acceder, es posible que la contraseña que introduzcas no sea la correcta. Así que antes de llegar a bloquear el acceso por intentos fallidos (si has implementado el limite de intentos de inicio de sesión) prueba a utilizar la opción ¿Has olvidado tu contraseña?,que encontrarás en la parte de abajo de tu formulario de login WordPress.

Una vez pulses ese enlace te apareceá otro formulario en el que deberás escribir tu usuario o correo electrónico (el que esté registrado en WordPress) al que se te enviará una nueva contraseña.

WordPress login: problemas con las cookies

Para acceder a WordPress son necesarias las cookies. Si no están habilitadas no podrá acceder, así que lo primero que habra que comprobar es que las cookies estén autorizadas en el navegador.

Este problema puede surgir por varios motivos. A veces, simplemente, refrescando la página en el navegador se solucionará la cuestión. También puedes probar a vaciar la caché del navegador.

Borrar cookies y datos de navegación en la configuración de Chrome.
Borrar cookies y datos de navegación en la configuración de Chrome.

Conclusión

Como ves acceder a WordPress es muy sencillo. Además, si tienes una buena contraseña también será seguro aunque puedes implementar algunas de las medidas descritas en este post para mejorar aún más la seguridad.

Así que, ¿ya tienes claro cómo funciona WordPress login? ¿Sabes cómo acceder a WordPress?

Si tienes cualquier otra duda al respecto, no dudes en dejar un comentario. O si lo prefieres puedes seguir leyendo sobre WordPress en mi post ‘Aprende cómo instalar plugins en WordPress, en menos de 1 minuto‘.

escrito por Marco Torres Walker

Hola, bienvenido a mi web. Soy diseñador, especializado en webs para fotógrafos, empresas y profesionales del vídeo y la imagen. Lee aquí mi historia si quieres saber más o averigua aquí cómo trabajo. Si te interesa el diseño web sostenible puedes informarte aquí.

Consejos y reflexiones si me sigues en redes

¿Quieres una web que atraiga clientes?

Descarga gratis mi guía con cinco claves para mejorar tu web y que te ayude a atraer clientes

Deja un comentario

Información sobre protección de datos. Responsable: Marco Torres Walker. Fin del tratamiento: Controlar el spam, gestión de comentarios. Legitimación: Tu consentimiento. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal. Derechos: Acceso, rectificación, portabilidad, olvido. Contacto: [email protected]. Información adicional: Más información en nuestra política de privacidad.