WORDPRESS

Conoce la mejor manera de proteger wp-admin

Publicado el por [email protected]

En el artículo anterior ya hablamos sobre la necesidad de proteger o no el wp-admin si ya estamos usando una contraseña segura, y determinamos que si es necesario (aunque no indispensable) si queremos incrementar la seguridad de nuestro sitio web. A continuación, daremos tres recomendaciones básicas para que puedas escoger cuál es la mejor manera de proteger el acceso a tu sitio web, según tus necesidades específicas.

Usar una contraseña fuerte y segura

Crear contraseñas fuertes y seguras en WordPress es muy importante si quieres proteger tu sitio web contra posibles ataques. A continuación, te damos algunas recomendaciones básicas que debes tener en cuenta si quieres que tus contraseñas sean seguras:

  • Asegúrate de que tu contraseña tenga al menos 12 caracteres. Cuanto más larga sea, mejor. Recuerda la recomendación que te dimos alguna vez sobre este aspecto, puedes verla aquí.
  • Usa una combinación de letras mayúsculas y minúsculas, números y símbolos especiales como !, @, #, $, %, etc.
  • No uses información personal como tu nombre, fecha de nacimiento o nombre de usuario en tu contraseña.
  • Evita palabras del diccionario: Las contraseñas que sean palabras del diccionario son más fáciles de adivinar. Trata de combinar palabras o alterarlas con números y símbolos.
  • No uses secuencias obvias: Evita secuencias de teclado como “123456” o “qwerty”.
  • Evita contraseñas comunes como “password”, “admin”, “123456789”, etc.
  • Utiliza una contraseña diferente para cada cuenta que tengas. No reutilices contraseñas.
  • Considera utilizar generadores de contraseñas seguras que pueden crear combinaciones aleatorias altamente seguras.
  • Considera crear una frase que tenga sentido solo para ti, y luego combina las primeras letras de cada palabra con números y símbolos.
  • Cambia tus contraseñas regularmente, al menos cada tres meses.
  • Nunca compartas tus contraseñas con nadie y evita almacenarlas en lugares públicos o fácilmente accesibles.
  • Considera el uso de un gestor de contraseñas confiable para almacenar y administrar tus contraseñas de manera segura.

Cuando estás configurando contraseñas en WordPress, asegúrate de aplicar estos principios tanto para la contraseña de administrador como para las contraseñas de todos los usuarios en tu sitio. Una contraseña sólida es un componente fundamental de la seguridad en línea.

Configura la autenticación de dos factores (2FA)

Configurar la autenticación de dos factores (2FA) en WordPress es una medida de seguridad efectiva para proteger tu sitio web. Aquí te explico la forma má sencilla de configurarla:

Instala un plugin de 2FA

  • Accede al panel de administración de WordPress.
  • Ve a “Plugins” en el menú lateral y haz clic en “Agregar nuevo”.
  • Busca un plugin de autenticación de dos factores, como “Two Factor” o “MiniOrange Two Factor Authentication”.
  • Instala y activa el plugin que elijas.

Configura el plugin

  • Después de activar el plugin, generalmente aparecerá una nueva opción en el menú, como “Two Factor” o “Two-Factor Options”.
  • Accede a la configuración del plugin.
  • En la mayoría de los casos, deberás elegir los métodos de autenticación que deseas habilitar. Los métodos comunes incluyen:
  • Códigos de tiempo basados en HMAC (TOTP): Utilizan una aplicación de autenticación como Google Authenticator o Authy para generar códigos temporales.
  • Mensajes SMS: Recibes un código por SMS en tu teléfono.
  • Correo electrónico: Recibes un código por correo electrónico.

Configura los métodos elegidos

1. Para la autenticación TOTP:

  • Descarga una aplicación de autenticación en tu teléfono, como Google Authenticator o Authy.
  • Escanea el código QR que proporciona el plugin desde la aplicación.
  • Ingresa el código generado en la aplicación para verificar la configuración

2. Para la autenticación por SMS o correo electrónico:

  • Configura los detalles de contacto relevantes, como tu número de teléfono o dirección de correo electrónico.
  • Prueba el método para asegurarte de que recibes los códigos correctamente.

Configuración adicional

Algunos plugins permiten establecer reglas específicas para qué usuarios deben usar la 2FA, como los administradores o usuarios específicos.

Puedes configurar opciones de respaldo en caso de que pierdas acceso a tus métodos de autenticación principales.

Prueba tu 2FA

  • Cierra sesión en tu cuenta de administrador de WordPress.
  • Al iniciar sesión nuevamente, ingresarás tu contraseña como de costumbre y luego se te pedirá que proporciones el código de autenticación de dos factores.

Recuerda que, si pierdes acceso a tus métodos de autenticación, es posible que necesites acceder al sitio a través de métodos alternativos, como desactivar temporalmente el plugin de 2FA en la base de datos o mediante el acceso directo al servidor.

Configurar la 2FA agrega una capa importante de seguridad a tu sitio de WordPress al requerir una segunda forma de autenticación además de la contraseña.

Renombrar la carpeta “wp-admin”

Renombrar la carpeta “wp-admin” en WordPress puede ser una medida adicional para mejorar la seguridad de tu sitio, ya que dificulta que los atacantes encuentren la ruta de acceso al área de administración. 

Recuerda que antes de realizar cualquier cambio en los archivos o estructura de tu sitio WordPress, es bueno hacer una copia de seguridad completa de tu sitio y base de datos para evitar la pérdida de datos en caso de problemas. Si no sabes cómo renombrar la carpeta, aquí te explicamos cómo:

  1. Accede a tu sitio a través de FTP: Utiliza un cliente de FTP (como FileZilla) para conectarte a tu servidor web.
  2. Navega hasta la carpeta de tu sitio web: La ubicación de tu sitio web puede variar dependiendo de tu proveedor de hosting, pero generalmente se encuentra en la carpeta “public_html” o “www”.
  3. Encuentra la carpeta “wp-admin”: Ubica la carpeta “wp-admin” en el directorio raíz de tu sitio web.
  4. Renombra la carpeta “wp-admin”: Haz clic derecho en la carpeta “wp-admin” y selecciona “Renombrar” o “Cambiar nombre”.
  5. Elige un nombre único y difícil de adivinar para la carpeta. Por ejemplo, podrías usar una combinación de letras y números.
  6. Actualiza el archivo .htaccess: Para que el servidor web pueda encontrar la nueva ubicación de la carpeta “wp-admin”, necesitas actualizar el archivo .htaccess en la carpeta raíz de tu sitio. Abre el archivo .htaccess y agrega las siguientes líneas al principio del archivo:

bash

Copy code

RewriteEngine On

RewriteRule ^mi-nuevo-nombre/wp-admin/(.*)$ /wp-admin/$1 [QSA,L]

Reemplaza “mi-nuevo-nombre” con el nombre que hayas elegido para la carpeta renombrada.

  1. Prueba el nuevo nombre: Intenta acceder a tu área de administración ingresando la nueva URL, por ejemplo: https://tusitio.com/mi-nuevo-nombre.
  2. Verifica la funcionalidad: Asegúrate de que todas las funcionalidades del área de administración sigan funcionando correctamente con la nueva ruta.

Es importante destacar que este proceso puede ser complejo y está relacionado con la configuración de tu servidor. Si no te sientes cómodo realizando estos cambios por ti mismo, considera obtener ayuda de un profesional de WordPress o de soporte técnico de tu proveedor de hosting.

Hay otros métodos para proteger el wp-admin de tu sitio web, te recomendamos consultar con un experto para asegurarte de que eliges el más adecuado para tus necesidades.

¿Qué te pareció este artículo? ¿Cómo proteges tu wp-admin? 

Si deseas más información sobre nuestros planes de hosting para WordPress puedes contactarte con nosotros o escribirnos tu consulta en los comentarios de este artículo.

Imagen de 27707 vía Pixabay.com bajo licencia creative commons.

© 2024 Todos los derechos reservados ServidoresRapidos.net