Ocultar la página de acceso a WordPress wp-login

En un ataque de fuerza bruta, los piratas informáticos intentan adivinar tu nombre de usuario y contraseña una y otra vez, hasta encontrar la combinación correcta; se trata de procesos automatizados y pueden durar semanas, meses e incluso años si no se hace nada al respecto. Ocultando la página de acceso a WordPress se reduce considerablemente este tipo de ataques.

Autor: Emilio C.S.
Publicado el


  1. 1. ¿Por qué es necesario ocultar la página de acceso a WordPress wp-login.php?

    Para evitar un ataque de fuerza bruta (en inglés brute-force attacks). Se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

    En un ataque de fuerza bruta, los piratas informáticos intentan adivinar tu nombre de usuario y contraseña una y otra vez, hasta encontrar la combinación correcta; se trata de procesos automatizados y pueden durar semanas, meses e incluso años si no se hace nada al respecto. Ocultando la página de acceso a WordPress se reduce considerablemente este tipo de ataques.

    ¿Por qué es necesario ocultar la página de acceso a WordPress wp-login.php?
    Acceso a WordPress
  2. 2. Ocultar el acceso con WPS Hide Login

    En el menú de la izquierda de Wordpress, haz clic en Plugins y en Añadir nuevo. En el buscador de plugins superior derecha busca "WPS Hide Login". A continuación haz clic en Instalar ahora y a continuación en Activar.

    Instalar WPS Hide Login
    Instalar WPS Hide Login

    Desde la sección de Plugins haz clic en la opción Ajustes de WPS Hide Login. También puedes acceder desde el menú de la izquierda de Wordpress, haciendo clic en Ajustes y en WPS Hide Login.

    A continuación puedes configurar dos parámetros: URL de acceso protege tu web cambiando la URL de acceso y evitando el acceso a la página «wp-login.php» y al directorio «wp-admin» a quien no esté conectado y URL de redirección redirige a la URL indicada cuando se intenta acceder a la página «wp-login.php» y al directorio «wp-admin» sin haber accedido.

    Ejemplo de configuración de WPS Hide Login

    • URL de acceso https://tunombrededominio.com/
    • URL de redirección https://tunombrededominio.com/

    Al guardar los cambios recibirás un mensaje de confirmación:

    Ahora tu página de acceso está aquí: https://tunombrededominio.com/palabrasecreta. ¡Guarda esta página en tus favoritos!.

    De este modo, la dirección de acceso al panel sería https://tunombrededominio.com/palabrasecreta y si se produce un intento de acceso mal intencionado a https://tunombrededominio.com/wp-login.php éste será redireccionado a https://tunombrededominio.com/fuerzabruta.

    Lo más recomendable sería redireccionar https://tunombrededominio.com/fuerzabruta a una url del tipo http://127.0.0.1/ para que no sea WordPress el encargado de buscar el documento solicitado y mostrar el correspondiente mensaje de error. Redireccionando a http://127.0.0.1/ forzamos al atacante a resolver su petición sobre su propia máquina sin que WordPress tenga que intervenir; mucho más seguro y eficaz.

    Se ha detectado un bug por el cual WPS Hide Login sólo redirecciona a cuando se accede al directorio «wp-admin» y muestra la página de error cuando se accede al documento original «wp-login.php». Si es tu caso, recomendamos redireccionar desde el Panel de Control de tu plan de alojamiento web o con un plugin, desde https://tunombrededominio.com/wp-login.php a https://tunombrededominio.com/fuerzabruta, y con la redirección anterior, derive al atacante a http://127.0.0.1/.