blog webempresa

wp-admin y wp-login.php de WordPress

por | Mar 3, 2023 | Aprender WordPress

wp-admin y wp-login.php de WordPress

A estas alturas el amor que tenemos por WordPress es evidente. Esas mariposas cuyas alas tienen la forma de una revolotean dentro de nosotros.

Hoy te traigo un artículo en el que vas a conocer un poquito más sobre la manera en que funciona y hacemos login en este CMS, y al final de esta página entenderás la gran diferencia entre wp-admin y wp-login de WordPress.

No te voy a hablar de plátanos ni acertijos, pero sí usar el concepto para hablarte de esa parte más técnica de WordPress que a veces nos gusta dejar en manos de quien nos esté haciendo la web (en el caso de que seas cliente de alguien) o que dejamos en ese cajoncito secreto marcado con una etiqueta de cosas por mejorar en el que tenemos la parte técnica de WordPress y sus entrañas que no se ven a simple vista (en el caso de que seas tú quien hace la web).

Mucho se ha hablado en este blog sobre plantillas WordPress, plugins para todo tipo de uso y conceptos generales; y además de todo ello, poco a poco te vamos ofreciendo contenido más técnico, que hará que conozcas de una manera mucho más profunda nuestro gestor de contenidos favorito.

El login de WordPress es una de esas partes que parece simple, pero que esconde un gran funcionamiento interno.

A continuación te voy a explicar, por separado, para qué sirve wp-admin y wp-login, y así tendrás una clara idea de lo que los diferencia (a simple vista tan parecidos).

  Lo que tienes que saber sobre wp-admin

 

wp-admin es lo que, seguramente, todos conocemos al escribir justo esas letras detrás de nuestro dominio web. (www.ejemplo.com/wp-admin).

Es una de las maneras por la que los más amateur tienen de saber si la web en cuestión está usando WordPress.

No obstante, hay que tener otros factores en cuenta para saber con qué está hecha una web, ya que hoy en día es muy fácil esconder o mover de sitio el cómo se inicia sesión en WordPress (no te preocupes, al terminar el artículo sabrás cómo hacerlo tú mism@).

Wp-admin es una carpeta de las tres que vienen por defecto en WordPress (wp-admin, wp-content, wp-includes).

Dentro de dicha carpeta, no hay ningún archivo de configuración (al contrario que wp-content, por ejemplo). Todo el contenido es estático, y contiene archivos internos como scripts y librerías.

Esto en parte es bueno, porque si algún día tienes problemas serios con esa carpeta, lo mejor es borrarla y volverla a subir a partir de los archivos originales que te descargues desde WordPress.

  Lo que tienes que saber sobre wp-login

 

wp-login, en cambio, es un archivo individual llamado wp-login.php y que se encuentra en la carpeta principal de tu web (la famosa carpeta root).

Dicho archivo hace que aparezca un formulario de login WordPress (el que todos conocemos), en el cual escribirás un usuario y contraseña y podrás acceder al panel de administración.

Hay diversos plugins que hacen un poco «más complejo» dicho formulario, añadiendo un CAPTCHA, o un factor de autentificación en dos pasos, etc.

No te preocupes si tanto wp-admin como wp-login te confunden un poco, porque escribiendo ambos detrás de una web de WordPress vas a acabar en el mismo sitio: el login WordPress que todos conocemos.

Y precisamente, porque es muy fácil adivinar si una web está hecha con WordPress o no, escribiendo wp-admin o wp-login al final del dominio, voy a explicarte, junto con recursos y vídeo (más abajo), cómo protegerse ante posibles ataques o gente demasiado curiosa.

  Protección de wp-admin y wp-login

 

Cómo acabo de mencionar en el punto anterior, la finalidad de este apartado del artículo es conseguir que, precisamente, no tengas URL demasiado obvias.

Y con esto me refiero a las oficiales (por ende, las obvias) que son:

  • https://ejemplodominio.com/wp-admin
  • https://ejemplodominio.com/wp-login.php

Eso sí, recuerda que no estás obligad@ a poner en tu web ninguna de las soluciones que te propongo a continuación, y que, de querer hacerlo, primero lo hagas en un entorno test, ya que tu web se podría romper.

  Protección con contraseña desde WePanel

 

Este procedimiento es bastante sencillo y lo puedes hacer desde el panel de tu servidor (si lo tienes con Webempresa, basta con que sigas los pasos que describo en el apartado vídeo: minuto 2:56).

Como verás, es un método sencillo y que añade una capa de seguridad extra a aquellos «curiosos» que intentan adivinar tu contraseña de administrador de WordPress.

TIP adicional: recuerda no utilizar nunca el usuario admin, ya que es el más fácil de adivinar.

  Uso de contraseñas muy fuertes

 

Al igual que el consejo de no usar “admin”, es más que recomendable (casi obligatorio hoy en día) usar una contraseña muy compleja.

No caigas en la tentación de usar contraseñas tipo “12345”, “nombredeempresayañoactual” o “nombredetucalleyañoactual“.

Te invito a que busques en Google “contraseñas más utilizadas en 2018” y si encuentras la tuya, o alguna muy parecida, cámbiala por una mucho más fuerte y rara.

Puede que pienses que no la vas a recordar, ¡y es completamente normal!, por ello te recomiendo que utilices esto:

  • Un gestor de contraseñas: Por ejemplo, Webempresa dispone de la aplicación CiberProtector. Es una herramienta con la que puedes crear, almacenar, utilizar y compartir tus contraseñas de forma segura.

    Además, la VPN de CiberProtector es una red de seguridad para que te conectes a internet tranquilamente y a salvo desde tu ordenador o tu móvil.

  • Un generador de contraseñas complejas: aunque CiberProtector ya incorpora uno, intenta que tu contraseña, por lo menos, tenga una letra en mayúscula, un número y un símbolo.

Recomendación: ¿qué tal si añades un plus de seguridad al usuario con el que accedes a tu Web?


Si ya estás trabajando, por ejemplo, con una página web WordPress, puedes utilizar CiberProtector (creado por Webempresa).


Con esta herramienta consigues más protección para el wp-admin añadiendo autenticación en dos pasos desde tu Smartphone.

  Verificación en dos pasos

 

Aunque opcional, es también muy recomendable añadir la verificación en dos pasos a tu login de WordPress.

Esto puedes también hacerlo con el plugin de WordPress 2FA de Webempresa que forma parte de la herramienta de CiberProtector y con el que puedes hacer tu wp-admin y wp-login más seguros.

Añadir un segundo factor de autorización al formulario de acceso de WordPress garantiza que aunque alguien sepa por descubrimiento o sustracción de datos, tu usuario y contraseña de WordPress, no podrá acceder al dashboard de tu web como administrador/a si no completa la autenticación con el código 2FA que se genera desde tu móvil con CiberProtector.

  Limitación de intentos de login

 

Otra manera de frenar los ataques es limitar los intentos de login en WordPress. Este método es muy recomendable, sobre todo si tienes muchos usuarios, y no quieres sobrecargar la web.

Prueba con este plugin, te ayudará mucho.

  Que solo IP específicas puedan acceder

 

Aquí me pongo un poco más “quisquilloso”, ya que con el código que te escribo a continuación, podrás hacer que solo tú puedas acceder al admin de tu web, desde tu ordenador (o quién tú elijas).

Esto lo vas a conseguir diciéndole a tu login de WordPress que aparezca solamente cuando wp-admin o wp-login sea visitado por una determinada IP.

La IP, un número único que define tu ubicación, desde el dispositivo que te conectes en concreto.

Para saber cuál es tu IP, hay muchas herramientas web. Puedes visitar esta web, y la verás enseguida.

TIP para usuarios avanzados: si estás usando un cambiador de VPN, cuidado, porque tu IP va a cambiar cada vez, ¡pero esto ya lo sabrás!

Una vez sepas cuál es tu IP, escribe (copia y pega más bien) este código en un .htaccess que debes crear en la raíz de la carpeta wp-admin de tu instalación de WordPress, y cambia las ”XXX.XXX.X.X” por tu IP:

order deny
allow allow from XXX.XXX.X.X
deny from all

  No dar pistas al fallar el acceso

 

Cuando accedes a wp-admin o wp-login y escribes el usuario y la contraseña, si has escrito cualquiera de los dos mal, tu login de WordPress te dará pistas de lo que has escrito mal.

Así es muy fácil saber si en lo que te has equivocado es en la contraseña, o en el usuario, o si cierto email existe dentro de la base de datos de esa web.

Es recomendable que cambies ese mensaje de error por algo que sea menos explicativo, como por ejemplo un mensaje de Upss, ha ocurrido algo y no puedes acceder.

Añade este código al archivo functions.php dentro de wp-content, en la plantilla que estés utilizando en tu instalación de WordPress:

function no_wordpress_errors(){ return 'Ups, ha ocurrido algo y no puedes acceder'; } add_filter( 'login_errors', 'no_wordpress_errors' );

  Requerir contraseñas fuertes

 

Si tienes una web con muchos usuarios, o donde se puedan registrar personas por sí mismas, es recomendable que les obligues a utilizar contraseñas fuertes.

Esto evitará problemas con las cuentas de tus usuarios, quejas, decepciones y protestas (aunque en teoría sea culpa suya, por no haber usado una contraseña fuerte).

Usa este plugin para tal fin.

  Resetear contraseñas de todos los usuarios a la vez

 

Si tu web ha sido hackeada, y has entrado en pánico, respira: ¡Les ha pasado a las webs más grandes tipo Facebook o Twitter! (y en teoría ellos tienen lo más de lo más en anti-hackeos).

Quizás alguna vez te ha llegado un correo de alguna web a la que pertenezcas, pidiéndote que cambies tu contraseña por si acaso, ya que han sufrido un ataque y se han visto comprometidas miles de cuentas de usuario (a mí me pasó con eBay).

Esto lo hacen para prevenir malos usos por parte de las cuentas hackeadas, y para que los usuarios que no han sido atacados, se sientan más seguros al «tomar el control» y cambiar la contraseña de acceso.

Puedes hacer un reseteo general de todas las cuentas de usuarios a la vez en tu login de WordPress, utilizando este plugin para tal fin.

Nota: cuidado, muchos emails tipo phishing hacen esto, imitando las páginas de login de las principales webs, para que escribas tu contraseña antigua, y de esta manera engañarte.

  Limitar acceso a panel de administración

 

Cuando he construido webs con cuentas de usuario «normales», que en teoría no tienen por qué ver el panel de administración de toda la vida (el dashboard de WordPress que ya conoces, tras iniciar sesión), me ha ayudado este plugin.

Lo que hace es que cuando un usuario normal intenta utilizar wp-admin o wp-login para acceder a su cuenta, no se vaya al famoso dashboard, sino que vaya a la página que asignes para tal fin (una simple redirección a una URL específica).

  Desloguear automáticamente a usuarios idle

 

Aunque ya sea rizar el rizo, te recomiendo también que desconectes de tu web a los usuarios ya conectados, y que no hayan producido ningún tipo de actividad en un tiempo determinado (en inglés idle).

Esto nunca está de más, porque les obligarás a volver a la pantalla de login de WordPress y conectarse de nuevo.

Así se sentirán más seguros, y entenderán lo que ha pasado, ya que es por su propia seguridad.

  Usar WPS Hide Login

 

Este no es el primer artículo que se escribe sobre seguridad en WordPress en el blog de Webempresa, así que te recomiendo que le eches un vistazo a este artículo sobre seguridad, en donde, utilizando el plugin de WPS Hide Login, se consigue cambiar las URL del login de WordPress.

En dicho artículo aprenderás a que no salga la pantalla de login de WordPress al escribir wp-admin o wp-login.php después del dominio que tengas, sino que tú mism@ podrás elegir qué palabra hay que escribir para poder conectarse a tu web.

  Vídeo sobre los archivos wp-admin y wp-login.php

 

Aquí te dejo un pequeño vídeo de unos minutos de duración que explica de una manera sencilla y clara la diferencia entre wp-admin y wp-login.

A partir del minuto 2:56 podrás ver el procedimiento para proteger con contraseñas tu WordPress desde el WePanel.

 

  Conclusiones

 

Y esto ha sido todo en cuanto a todo lo relacionado con el login de WordPress, wp-admin y wp-login.php. Espero que te haya quedado más claro que antes, y que a la vez hayas conocido un poquito más el fabuloso gestor de contenidos de WordPress.

Muchas gracias por haberte tomado el tiempo de leerlo y siempre es un placer ofrecerte artículos de este tipo. El equipo de soporte de Webempresa siempre estará aquí para ayudarte en lo que necesites.

¡Un abrazo muy fuerte nos vemos en el siguiente artículo!

¿Te ha resultado útil este artículo?

Black Friday 2024