WordPress es un objetivo popular porque lo utilizan decenas de millones de personas . No es ningún secreto que la página de inicio de sesión predeterminada se puede encontrar yendo a wp-admin o wp-login.php . Este artículo le muestra cómo ocultar manualmente la página de inicio de sesión de su sitio sin un complemento.
Un ataque de fuerza bruta es un método que utilizan los piratas informáticos para obtener acceso a su sitio web adivinando su contraseña de inicio de sesión. Una forma de prevenir ataques es ocultar su página de inicio de sesión, especialmente si su sitio se ejecuta en WordPress.
Hay un argumento convincente para hacer esto por el rendimiento. Si recibe demasiadas solicitudes http, como de un ejército de bots zombis empeñados en ingresar a su sitio web, su servidor puede quedarse sin memoria. Esto puede ralentizar considerablemente su sitio y hacer que sus visitantes se enojen.
Antes de comenzar, haga una copia de seguridad de sus archivos. Nunca confíes en un directorio que no puedas borrar, y nunca confíes en una computadora que no puedas tirar por la ventana. ¡Así que hagamos esto!
De forma predeterminada, el archivo wp-login.php contiene todo el código que genera la página de inicio de sesión y maneja la secuencia de inicio de sesión. Podemos usar el código de wp-login.php en nuestro nuevo archivo.
Esta es una forma cruda pero efectiva de cambiar el nombre de su archivo wp-login.php . Esto a su vez cambiará su URL de inicio de sesión. Todo lo que necesita es acceso a los archivos de su sitio y un editor de texto. Estoy usando un editor de texto gratuito llamado Notepad++ para este ejemplo.
Sólo hay 5 cosas que tenemos que hacer:
- Cree un nuevo archivo.
- Copie el código de su wp-login.php , luego péguelo en su nuevo archivo.
- Reemplace cada instancia de wp-login.php con el nuevo nombre de archivo. Buscar y reemplazar es tu amigo.
- Elimina el archivo wp-login.php .
- Inicie sesión a través de su nueva URL.
1. Crear un nuevo archivo
Cree un nuevo archivo desde el editor de texto y guárdelo en su carpeta raíz. Nombra este archivo como quieras que sea tu URL de inicio de sesión. En este caso lo llamé new-login.php .
2. Copie y pegue el código
A continuación, abra el archivo wp-login.php , seleccione todo el código y cópielo en su nuevo archivo. Asegúrate de guardarlo.
3. Busque y reemplace la cadena «wp-login.php»
Ahora busque y reemplace cada instancia de «wp-login.php» en el archivo, luego reemplácelo con su nuevo nombre de archivo. Notepad ++ tiene una función de búsqueda y reemplazo que puedo usar para buscar cada instancia de «wp-login» y reemplazarla rápidamente.
4. Elimine el archivo wp-login.php
Ahora puedes eliminar wp-login.php . No se preocupe, aún tendrá su copia de seguridad en caso de que algo salga terriblemente mal.
5. Pruebe su nueva URL de inicio de sesión
Ahora debería poder iniciar sesión navegando a su nueva URL. En mi caso, es localhost/test/wordpress/new-login.php . Cualquier solicitud http a los directorios /wp-login.php o /wp-admin llevará a los visitantes a una página 404 no encontrada.
Página de inicio de sesión oscura con reenvío de URL
Puede usar la redirección de URL (también conocida como reenvío de URL) para ocultar su página de inicio de sesión sin un complemento. En un servidor Apache, usa el módulo mod_rewrite para manipular las URL. Esto puede ser complicado, pero te permite realizar una cantidad infinita de tareas, como crear un alias para la página wp-login.php .
Este método tiene menos que ver con la seguridad y más con la forma en que aparece la URL en la barra de direcciones. Agregue el siguiente código a su archivo .htaccess para cambiar el nombre de su URL de inicio de sesión:
01
|
RewriteRule ^mynewlogin$ http: //www.yoursite.com/wp-login.php [NC,L] |
Ahora puede acceder a la URL de administración desde http://www.yoursite.com/mynewlogin . Tenga en cuenta que esto no evitará que las personas puedan acceder a la página wp-login.php . Simplemente permite que las personas inicien sesión desde una URL diferente.
Por qué debería usar un complemento para ocultar la página de inicio de sesión de su sitio
¿Cuándo debería usar un complemento para ocultar la página de inicio de sesión de su sitio? Casi siempre. Hay algunas muy buenas razones por las que es mejor usar un complemento para ocultar su URL de inicio de sesión. Si bien la creación manual de una nueva ruta de inicio de sesión no le dará problemas con futuras actualizaciones, es una buena práctica NO piratear el núcleo .
Es posible que tenga problemas de compatibilidad con los complementos que contienen código con wp-login.php . Incluso si es divertido, pueden suceder algunas cosas impredecibles. Jugar demasiado con el núcleo puede estropear seriamente las cosas. Además, hay muchos complementos confiables que pueden hacer el trabajo por usted, de forma gratuita.
En cuanto al uso de .htaccess , hay una gran variedad de formas en que puede usarlo para ocultar su inicio de sesión. Una vez más, esta conveniencia tiene el precio de la complejidad. Además, el mal uso de las reglas de reescritura puede consumir memoria en su servidor, ralentizando efectivamente su sitio. Los redireccionamientos también pueden causar problemas con AJAX , del que WordPress hace un uso intensivo.
La mejor manera de cambiar su página de inicio de sesión sería usar PHP. En WordPress, si va a usar PHP, las mejores prácticas dictan que use un complemento . Hay algunos complementos muy bien escritos que puede obtener de forma gratuita, o puede escribir los suyos propios.
WPS Ocultar inicio de sesión
¿Recuerdas antes (último párrafo) cuando dije que hay muchos complementos gratuitos? Este es uno de ellos. WPS Hide Login le permite cambiar el formulario de inicio de sesión con un solo clic. Puede configurarlo para un solo sitio o para su red. Es muy ligero, no utiliza redirecciones. y no cambia los archivos principales. Esto es mucho más limpio que una redirección o piratear el núcleo. Simplemente agrega un campo de formulario en la configuración de su tablero. Puede descargar este complemento desde el repositorio oficial de complementos de WordPress.
Medidas de seguridad adicionales
No es prudente utilizar la oscuridad como única medida de seguridad. Si está ocultando su página de inicio de sesión, también querrá asegurarse de que tiene todo lo demás bloqueado. Esto incluye:
- Uso de contraseñas seguras. No hay excusa para no hacerlo. WordPress automatiza esto por ti con un generador de contraseñas.
- Autenticación en 2 pasos. Puede crear una base de datos de usuarios con usuarios o grupos que pueden acceder a determinadas páginas. Consulte Autenticación y autorización en Apache.org.
- Limite el control de acceso. Limite la cantidad de acceso a los recursos en su sitio.
Para complementos de inicio de sesión, visite wordpress.org y busque el término inicio de sesión . Consulte también nuestra publicación sobre cómo escanear su sitio web en busca de malware oculto . También hemos hecho una lista de algunos de los complementos de seguridad más populares disponibles para WordPress que puede usar.
Terminando
Hay muchas formas de ocultar su página de inicio de sesión con WordPress para agregar una capa adicional de seguridad. Puede piratear fácilmente sus archivos de WordPress o usar un complemento para ocultar su página de inicio de sesión. Sin embargo, muchos argumentan que la seguridad a través de la oscuridad no hace que su sitio sea más seguro y que hay mejores formas de proteger su inicio de sesión.
¿Qué opinas? ¿Tiene algún consejo de seguridad o oscuridad superior para compartir?
Imagen en miniatura del artículo por robuart / shutterstock.com