Portada Wordpress Qué son los Ficheros wp-admin y wp-login
Cualquier instalación de WordPress tiene una cantidad considerable de archivos y directorios, pero hay dos que son muy importantes: wp-admin y wp-login.
Como puede ser un poco confuso, vamos a ver qué son estos dicheros y por qué son tan importantes en WordPress.
Tanto wp-admin como wp-login son una parte imprescindible de la estructura de WordPress y sin ellos sería imposible que funcionara.
Hay que aclarar algo desde el principio uno es un archivo y otro es un directorio, por lo que no son el mismo tipo de ficheros.
Son archivos imprescindibles y muy importantes en cualquier sitio WordPress, ya que se encargan de la administración y el acceso a gestor de contenidos.
Para acceder a wp-admin o wp-login, lo tienes que hacer desde un navegador web a través de una URL que empieza con el nombre de dominio donde tengas instalado WordPress, algo así:
https://dominio.tld/wp-admin
Recuerda sustituir el dominio de ejemplo por tu nombre de domino donde tengas instalado tu WordPress.
Lo que verás al acceder será la página de acceso de WordPress por defecto:
Pero si te fijas un poco, verás que la URL se ha redirigido al archivo /wp-login.php y no entras directamente al directorio /wp-admin.
Esto es normal, ya que en la carpeta wp-admin está protegida y no se puede editar, así que, aunque en principio vaya a acceder a este directorio, en realidad lo haces a través del archivo wp-login.php.
Es este archivo el que se encarga de facilitar el acceso con las credenciales que se añadan y según estas credenciales y los permisos que tenga, podrá administrar algunas cosas y otras en WordPress.
Como ya habrás imaginado, si se accede a WordPress desde wp-admin o wp-login-php, es un objetivo por parte de los atacantes.
Muchos usuarios son conscientes de esto e intentan securizar el acceso a WordPress.
Hay distintas formas que aumentar la seguridad de acceso a WordPress desde wp-admin o wp-login.php, algunas más complejas que otras, pero vamos a ver las formas de proteger el acceso a WordPress más comunes.
Por supuesto, depende de tu criterio si quieres ponerlas en práctica o no, ya que la en algunas de ellas pueden interferir con el proceso habitual de login en WordPress.
La primera de las formas de proteger el acceso en WordPress es usar una contraseña segura.
Esto puede parecer una obviedad, pero suele ser el eslabón más débil de la cadena, como se suele decir.
Así que memoriza una contraseña que no sea ninguna palabra de ningún diccionario, usa mayúsculas, minúsculas, símbolos y números para crear tu contraseña.
Si tu WordPress permite el acceso a otro tipo de usuarios, exige que los usuarios que sus contraseñas sean igual de seguras.
Si te cuesta mucho usar contraseñas seguras, puedes usar un gestor de contraseñas para facilitarte el trabajo.
Aunque uses una contraseña segura y sea prácticamente imposible que ningún bot malicioso consiga averiguarla, ten por seguro que lo intentarán.
Se llama ataque de fuerza bruta y no es otra cosa que probar el acceso una y otra vez con distintas contraseñas para ver sin tienen suerte y has usado una contraseña insegura para el administrador de tu WordPress.
No es nada personal. Todos los que tenemos un WordPress somo un objetivo por parte de los hackers, así que tenemos que evitar este tipo de ataques.
No por miedo a que adivinen la contraseña, sino porque consume recursos y pueden molestar o ralentizar la carga de nuestro WordPress y afectar al resto de usuarios.
Evitar esto es muy sencillo, sólo tienes que limitar el número de veces que una misma dirección IP puede probar el acceso.
Por ejemplo, si pones un máximo de 5 veces, si el sistema detecta que una misma dirección IP comente 5 fallos en un determinado periodo de tiempo, bloquea esa dirección IP durante el tiempo que hayas configurado previamente.
En la mayoría de los plugins de seguridad tienes esta opción, pero si quieres usar un plugin específico para esto puedes probar Loginizer o Wordfence Login Security
Por defecto el acceso a WordPress es siempre el mismo: /wp-admin o /wp-login-php.
Hay formas de cambiar este acceso para que, en el caso que un atacante quiera intentar un ataque para acceder a nuestro WordPress, tenga algo más difícil el acceso.
No es algo definitivo, pero es otra barrera de seguridad que puedes añadir y así evitar cierto número de ataques, ya que cualquier hacker puede encontrar la URL de acceso en un tiempo relativamente corto, pero puedes evitar los ataques automatizados que usan el acceso por defecto en WordPress.
Lo que debes tener en cuenta, es tener de no olvidar la URL de acceso tú, ya que de otra forma tampoco podrías acceder a tu WordPress sin desactivar esta opción.
Existen distintas maneras de hacer eso, como por ejemplo con el plugin WPS Hide Login.
La autenticación en dos factores o 2FA es una de las formas más seguras de proteger wp-admin o cualquier otro tipo de acceso.
Se trata de poner tus credenciales de acceso en WordPress y luego añadir otro código de seguridad, que llega a nuestro teléfono móvil o email, aunque por lo general, usar una app en el móvil es más seguro.
Si no tienes acceso al dispositivo o cuenta que recibe el código de seguridad, no es posible seguir con el proceso de login.
De esta forma se genera una capa de seguridad extra y muy potente para asegurar wp-admin o wp-login.php.
Hay varios plugins que puedes utilizar para configurar 2FA en WordPress. Cualquiera de los plugins de seguridad habituales en WordPress tienen esta opción, incluso el plugin que hemos comentado antes Wordfence Login Security
Tomarse en serio la protección extra de wp-admin y wp-login.php es siempre una buena opción para proteger tu WordPress.
Al menos usar una contraseña segura y limitar el número de accesos de login son casi imprescindibles, si nos tomamos en serio la seguridad de nuestro WordPress.
Pero algo muy importante es mantener WordPress actualizado, así como plugins y themes, ya que es al agujero de seguridad más peligroso que puedes tener en tu WordPress.
Así que asegura el login y actualiza todo en tu WordPress para mantenerlo a salvo de posibles atacantes.