Seguridad

Protege el directorio wp-admin de tu web en WordPress

09/04/2018

El directorio wp-admin es el directorio más importante de una instalación en WordPress.
Suele ser blanco de ataques por parte de los hackers, por esta misma razón conviene que protejas este directorio, así como otros ficheros importantes como puede ser wp-config.php.

Cambiar url de wp-admin

A continuación vamos a mostrar cómo cambiar la url del directorio wp-admin. De esta forma los ataques serán menos efectivos, ya que por lo general los bots suelen rastrear todo el dominio en busca de páginas determinadas.
Podemos cambiar la url con un plugin llamado iThemes Security.

En primer lugar vamos a descargar e instalar el plugin.
Primero vamos a Plugins > Añadir nuevo y buscamos el plugin. Le damos a Instalar ahora y en cuanto se instale, a Activar.
Instalar y activar ithemes security

Tras activar el plugin, vamos a entrar en la configuración.
Vamos a Seguridad > Ajustes y se nos abrirá una ventana en la que se nos permite habilitar ciertas medidas de seguridad.
Ajustes iniciales

No queremos aplicar las medidas de seguridad, ya que de momento sólo queremos cambiar la url del directorio wp-admin, por eso pulsamos en Cerrar.

Ahora podemos ver una lista de los módulos que nos permite configurar el plugin.
Módulos - Recomendable

Esta no es la lista completa de módulos. Si te fijas, arriba a la derecha está seleccionada la opción Recomendable. Pulsa en Todos para que aparezcan los módulos que faltan.
Módulos - Todos

Ahora buscamos el módulo Ocultar escritorio que es el que nos interesa, y pulsamos en Configurar ajustes.
Si tenemos la estructura de permalinks por defecto, nos aparecerá un mensaje diciéndonos que tenemos que cambiar la estructura de permalinks para poder configurar el módulo.
Ocultar escritorio - Cambiar permalinks

Tras cambiarla (en el ejemplo hemos elegido la estructura "Nombre de la entrada"), volvemos a la configuración del plugin y al módulo de Ocultar escritorio. Marcamos la check box que dice "Habilita la función ocultar escritorio" y aparecerán las opciones de configuración.
Cambia el Slug de Inicio de Sesión (wp-admin).
En el ejemplo hemos elegido example_admin.
También podemos activar la redirección a una url que le indiquemos en el caso de que alguien quiera acceder sin tener permiso. Por defecto se pone not_found.
Ocultar escritorio

Tras activar esto, la url que se deberá buscar para acceder al directorio wp-admin es www.example.com/wpadmin_example. Pero si ya se está logueado como administrador, se podrá acceder como siempre, con www.example.com/wp-admin.
Cuando se intenta acceder a www.example.com/wpadmin_example sin estar logueado, nos lleva a la página www.example.com/not_found, y como dicha página no existe nos aparece un mensaje indicándonos que esa página no existe.
Not found
Lo ideal sería poner una página personalizada de error 404 cuando alguien sin loguear trata de acceder al directorio wp-admin.

Cuando alguien introduce la dirección www.example.com/wpadmin_example, nos carga la página login.php en la que podremos iniciar sesión.

Proteger directorio wp-admin con login

A continuación vamos a explicar cómo podemos proteger el directorio obligando a que los usuarios introduzcan el usuario y contraseña.

Primero debemos introducir el siguiente código en la configuración de apache. Puede ser en el fichero .htaccess.

<Directory /var/www/example.com/html/wp-admin>
AuthType Basic
AuthName "This is private"
AuthUserFile ".password"
AllowOverride AuthConfig
Require user donwordpress
</Directory>

En la primera línea indicamos la ruta absoluta al directorio que queremos proteger. En las siguientes líneas indicamos el tipo de autenticación (AuthType), el mensaje que aparece cuando se nos pide loguear (AuthName), el fichero en el que se guardan las cuentas que tienen acceso (AuthUserFile), permitimos el uso de las directivas de autorización (AllowOverride AuthConfig) y por último indicamos el nombre del usuario que tiene acceso (Require User). Tras esto cerramos la directiva Directory.

Después debemos generar las credenciales del usuario elegido en el fichero que hayamos indicado anteriormente. El comando para hacerlo es:

htpasswd -c -b donwordpress example

Con el comando anterior generamos una línea en el fichero que hayamos indicado, en nuestro caso .password (el punto es para ocultar el fichero), con el usuario y la contraseña que queramos.
El usuario que hemos puesto en el ejemplo es donwordpress y la contraseña es example.

Al visualizar el contenido del fichero .password, podemos ver que la contraseña está cifrada:

donwordpress:$apr1$P0AYux2O$7kxdTh/btM2PaWmU3VQzH1

El usuario y la contraseña que elijas no tiene por qué ser un usuario del sistema, ni un usuario de WordPress ni de ningún otro sitio. Puedes inventarte un usuario cualquiera, crear tantos usuarios como quieras y además puedes crear un solo usuario para dar acceso a tantos usuarios como quieras.
Para crear más de un usuario en el mismo fichero (.password), debes usar el comando anterior, pero quitando el parámetro -c. Este parámetro sirve para crear el fichero, por lo que si vuelves a lanzarlo se generará el fichero de nuevo borrando todos los usuarios que ya había.
El comando es el siguiente, siendo user2 y password2 el nombre y la contraseña del nuevo usuario.

htpasswd -b user2 password2

Ahora nos falta tratar de acceder al directorio wp-admin y loguearnos con el usuario que hayamos indicado en el fichero.
Cuando accedemos, nos saltará una ventana en la que deberemos autenticarnos.

Autenticación

En conclusión

Es importante que protegas todos los ficheros y directorios que no quieres que sean accesibles desde el exterior.
El directorio wp-admin es muy importante en una instalación en WordPress, por lo tanto debemos proteger el acceso a él en la medida de lo posible. En este artículo hemos visto dos formas de protegerlo, aunque ambas desde el acceso por el servidor web.

Complementa este artículo con nuestro artículo en el que explicamos cómo puedes mejorar la seguridad de tu WordPress.

Contrata nuestro hosting WordPress administrado y nosotros nos encargaremos de la seguridad de tu WordPress.

¿Nos ayudas a mejorar la calidad del blog?
Déjanos una valoración sobre este post para poder seguir mejorando
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (Ninguna valoración todavía)
Cargando...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


* Campo obligatorio.