¿Aún sigues sin comprender exactamente qué es un fichero wp-admin o un wp-login.php de WordPress? Este es un tema simple y complejo a la vez. Pero, si habitualmente te logueas para acceder a tu Web o Blog en este CMS, seguro que sabes de que te estoy hablando.
A menudo, se suele hablar sobre qué plugins utilizar en WP, cuáles son las últimas plantillas del momento, los mejores consejos para mejorar nuestro SEO, etc. Sin embargo, muy poco se suele hablar de la seguridad del CMS o gestor de contenidos más famoso del mundo: WordPress.
Bajo mi punto de vista, esto es un claro error, ya que puedes tener la mejor página del mundo, que si te la hackean o la tiran abajo todo esto no servirá para nada (son muchos los que ya han sufrido estos problemas en primera persona).
Precisamente por ello, y dada la importancia que tiene el wp-admin, en este artículo vamos a «descodificarlo», haciéndolo menos técnico y más comprensible para todo el mundo, incluso para aquellos que recién comienzan. De ahí que deba comenzar dándote una definición de qué es y para qué sirve esta carpeta:
¿Qué es el «wp-admin»?
El fichero «wp-admin» es la carpeta necesaria para acceder al panel de administración interno o «backend» de un WordPress. Y para que éste funcione, ésta no se debe modificar o eliminar. Ni esta carpeta ni ningún archivo que este contenido en ella. Simplemente se deja por defecto.
Por lo tanto y una vez hecha esta breve introducción, he de decirte que esta carpeta en sí contiene archivos internos (scripts y librerías) y ningún archivo de configuración o dinámico.
En caso de dañar o modificar esta carpeta, lo recomendable será descargarse la última versión de WordPress y reemplazar la carpeta wp-admin nativa por la dañada vía FTP. Así de simple.
¿Para qué sirve exactamente el wp-admin?
Antes de hablar sobre para qué sirve este fichero, es importante ver cuáles son las tres (o mejor dicho 4) patas fundamentales de WordPress, desde el punto de vista técnico.
Estas son:
- La carpeta wp-admin. La más famosa de ellas (de ahí el título del post) pero no la más relevante, pese a que a priori debería de ser así.
- La base de datos. No voy a meterme en terreno pantanoso en este aspecto pero como ya sabrás WordPress clasifica y almacena todo lo que escribes y configuras en su base de datos para posteriormente mostrártelo.
- La carpeta wp-content. La carpeta fundamental en el desarrollo y funcionamiento de este CMS, ya que contiene los themes, los plugins, las imágenes.
- La carpeta wp-includes. Esta carpeta contiene los archivos que necesita WordPress para su funcionamiento en sí y la de su API. Además, contiene las librerías principales de WordPress por lo que no es se encuentran en esta carpeta que tampoco se modifica nunca.
Por este motivo, he querido brindar la oportunidad de contarte todo lo que necesitas sobre este término a Borja Aranda, el cual te ayudará a que entiendas cómo asegurarlo contra posibles amenazas.
Estoy seguro de que, una vez termines de leer este post, tendrás mucho más claros varios algunos conceptos.
Como por ejemplo:
- Cual es la forma de proceder de WordPress para el ingreso al backend de la plataforma.
- Las posibilidades que tiene los hackers de acceder a tu página web y bloquearla.
- La importancia de no automatizar procesos como la instalación de WordPress en un hosting mediante el famoso botón “One click”.
- Lo realmente importante que es la codificación de código en los accesos a un gestor de contenido.
Por todo esto no me enrollo más que hay mucho que contar, así que ¡Al lío!
Mega-Guía sobre el WP-Admin de WordPress y el Panel de acceso y login a tu sitio Web
Hacer login de WordPress es una de esos requisitos para editar o modificar una página en Internet que, pese a parecer algo demasiado simple, entraña un funcionamiento técnico interno algo complejo.
Por ello, en este artículo te contaré aspectos tan necesarios como la manera de acceder a este panel administración, las diferencias con el «wp-login» y cómo hacer nuestro panel más seguro contra amenazas y, en definitiva, cuidar de la salud de nuestra Web.
¿Cómo puedo acceder a mi propio wp-admin?
Cualquier persona con conocimientos básicos de WP te diría que para acceder al administración y hacer login, solo habría que introducir la siguiente URL en tu navegador:
https://tudominio.com/wp-admin
De hecho, esta es la forma básica para saber si una página web está diseñada en este CMS.
No obstante, esto a nivel técnico no es correcto, ya que cuando tu accedes a tudominio.com/wp-admin, automáticamente WordPress realiza una redirección a URL parametriza del tipo:
tudominio.com/wp-login.php?redirect_to=https%3A%2F%2Ftudominio.com%2Fwp-admin%2F&reauth=1
Es decir, cuando accedes a /wp-admin, WordPress te redirige automáticamente al login de este sistema (wp-login) y ahí ya puedes acceder al panel de administración, introduciendo tu usuario y contraseña
¿Hay diferencias entre wp-admin y wp-login? ¿Cuáles?
Básicamente, la diferencia que existe entre wp-admin y wp-login es que el primero es una carpeta estática, mientras que el segundo es un archivo dinámico (con extensión .php), que se encarga de mostrarte un formulario de acceso.
Pese a que el primero es fundamental para el funcionamiento del WP, el segundo realmente hace una labor más “visible”.
Por este motivo, al escribir tu URL con wp-admin o con wp-login, la URL de destino será la misma, una parametrizada (con base en el login) para el acceso al panel de control del gestor de contenidos.
¿Cómo mejorar la seguridad del wp-login y del wp-admin de mi WordPress?
Si has llegado hasta este punto, enhorabuena, ya que por fin comprendes un poco más el funcionamiento de este CMS.
Por ello, teniendo en cuenta todo lo dicho hasta ahora, ya no te será complicado entender los procesos para mejorar la seguridad en tu WordPress.
Para ello, podrás optar por alguna de estas medidas (o por todas). Todo dependerá del grado de seguridad que quieras en este acceso. ¡Vamos con ello!
1º Utilizar contraseñas difíciles y prescindir de instalaciones automáticas. Ejemplos + caso práctico.
Puede parecer una tontería, pero es más común de lo que parece utilizar la contraseña «123456» con el usuario «admin».
Cómo supondrás, esta técnica es un grave error y en la mayoría de los casos se produce por:
- Demasiada prisa como para pensar una buena contraseña y utilizar la primera que se viene a la cabeza pensando en modificarla luego (cosa que luego no ocurre).
- Utilizar las apps de “Instalación de WP en One click” que tantos proveedores de servicios de hosting utilizan. Esto genera por defecto un usuario admin que, pese a que la contraseña sea fuerte, el usuario puede ser un punto de entrada.
- Dar a todo que sí por defecto, sin leer detenidamente cada paso al realizar la instalación de una página Web.
De todos modos, si quieres ideas para generar contraseñas complicadas puedes acceder a multitud de portales gratuitos que te generan este tipo de contraseñas gratis (si no te fías de la que viene por defecto en WP) como «clavesegura.org».
Por otro lado, y pese a que WP encripta toda su información sensible en la base de datos, también se recomienda utilizar un nombre raro que mezcle mayúsculas, minúsculas y números.
Ejemplos de buenas y malas contraseñas
De todos modos, aquí te dejo una hoja de buenas y malas contraseñas:
- Buenas contraseñas: hucvT9Q78h, Unhg796, dI4b6qmj2XO13kUjn.
- Malas contraseñas: 123456, 111111, nombres de personas, abc123.
2º Obligar a redactar contraseñas fuertes
Para evitar problemas como los anteriores, puedes obligar a que el registro de usuarios en tu página web implique el uso de contraseñas fuertes.
Bien es cierto que no hay nada seguro en internet pero al menos le quitarás incentivos al hacker para atacarte.
Para llevar a cabo este paso no quedará más remedio que tocar código dentro de tu archivo funtions.php de WordPress. Por este motivo te dejo este tutorial paso a paso para hacerlo.
De todos modos, por defecto, si escribes una contraseña fácil de primeras el propio WP te advertirá de ello y tendrás que hacer click en un checkbox para confirmar el uso de esa contraseña débil.
3º Cambiar la URL de acceso
Este paso es muy fácil y útil para evitar que la gente sepa fácilmente que utilizas este CMS y para evitar posibles hackeos.
Para cambiar la URL de acceso a tu WP y que ésta no sea «/wp-admin» o «/wp-login», bastará con instalar el plugin WPS Hide Login.
En este plugin simplemente deberás indicar cómo quieres que sea el slug del nuevo acceso a tu WordPress y en dos clicks estará todo listo.
4º «Capar» el acceso a extraños por IP
Lo primero de todo es que, para llevar a cabo este proceso será conocer tu IP. Para ello existen diferentes páginas web como esta: cualesmiip.com
Una IP es algo así como una identificacion que tu tienes en internet. Por lo tanto, con este paso lo que conseguirás será bloquear a todas las IPs que no sean la tuya.
Es decir, que solo podrás acceder a tu WordPress desde ese ordenador y esa IP, el resto quedarán bloqueadas.
Esta opción es muy drástica e incluso peligrosa por lo que no la recomiendo utilizar salvo que no quede otro remedio.
Bien, para llevar a cabo este paso de seguridad simplemente tendrás que acceder a tu servidor vía FTP, para modificar el archivo .htaccess (que encontrarás en la carpeta wp-admin) y le añadirás el siguiente código al final:
order deny,allow allow from XXX.XXX.X.X deny from all
Finalmente, donde se encuentran las X, tendrás que sustituirlas por tu IP para bloquear al resto de intrusos.
5º Limitar el número de pruebas de contraseña en el login
Una forma que tienen los hackers de hacerse con el acceso a tu WordPress en mediante fuerza bruta. Es decir, realizar miles y miles de pruebas hasta conseguir tu contraseña.
Este es un método poco común, pero que a veces funciona si la contraseña es demasiado débil.
Por lo tanto, una forma de evitar este tipo de ataque será limitar el número de intentos para acceder al panel de control hasta X número en X tiempo.
Para ello, lo mejor será optar por un plugin generalista de seguridad tipo All In One WP Security & Firewall u otros más específicos como Login LockDown.
Con estos plugins, podrás controlar el número de intentos que se podrán realizar en el login de tu WordPress antes de que te bloqueen.
6º Realizar una verificación en dos pasos
Este tipo de proceso de seguridad es el que usan empresas como Google o Facebook para asegurar la propiedad de una cuenta.
Mediante una verificación en dos pasos, consigues que alguien que por cualquier vía se ha hecho con tu contraseña no acceda a tu cuenta, salvo que tenga tu móvil por ejemplo.
Al activar esta verificación en dos pasos (pese a que a nivel usuario es un aburrimiento), conseguirás que tu seguridad web mejore sustancialmente.
Para llevar a cabo esta verificación en dos pasos lo mejor será utilizar el plugin WP 2-step verification.
Con él, podrás llevar a cabo este proceso de forma simple, segura y eficaz ¡Ya nadie se hará con tu cuenta!
¿Qué debo hacer si mi web ha sido hackeada?
Siento decirte que no hay web 100% segura en Internet y todo es hackeable.
Lógicamente, si tu página en WordPress tiene fallos de seguridad por desactualizaciones de plugins, tendrás más posibilidades de ser atacado.
Ojalá, nunca tengas que pasar por ello ya que es un auténtico quebradero de cabeza, pero en el peor de los casos, si pasara y tuvieras usuarios registrados en tu página web lo mejor será desloguear a todos tus usuarios y cambiarles la contraseña.
Para esta labor lo mejor será utilizar un plugin como MASS Users Password Reset. Con este plugin, podrás resetear todas las contraseñas de tus usuarios de forma rápida.
¿Cómo personalizar el wp-admin de WordPress?
Una vez tengas seguras todas y cada una de las cuentas de tu página web, es el momento de personalizar el wp-admin o wp-login de tu sitio.
Esta labor se podrá hacer de dos formas distintas:
- Mediante plugins: esta es la forma más simple y rápida de personalizar el wp-admin de una página web sobretodo si no tienes unos conocimientos mínimos de programación y maquetación (CSS, HTML, PHP)
- Mediante código: esta será la opción más PRO ya que evitarás incluir código de más por que sí. No obstante, este método tiene el hándicap de que la personalización es más lenta y tiene una serie de requerimientos técnicos ya que necesitas saber algo de programación.
1. Personalizar el wp-admin mediante plugins
He probado unos cuantos plugins para personalizar el wp-admin y, sin duda, me quedo con Custom Login.
Con este sencillo plugin podrás personalizar al 100% el formulario y fondo de acceso a tu panel de control.
Pese a ser de pago dispone de una versión gratuita muy potente en la que podrás desde cambiar todos los colores, tipografías, fondos etc a incrustar un Google reCaptcha para añadir más seguridad a tu formulario de acceso.
Te recomiendo que lo pruebes y compruebes por ti mismo la efectividad de este magnifico plugin de WP.
2. Personalizar el wp-admin mediante código
Para modificar el wp-admin tocando código, deberás de, por un lado realizar las modificaciones pertinentes en el archivo functions.php y en los estilos globales del site (es decir, modificar los CSS del portal web).
Para modificar los CSS del proyecto de forma sencilla lo mejor será utilizar el plugin Simple CSS.
Con este complemento, podrás sustituir los estilos originales (como colores, tipos, etc) de WordPress, sin necesidad de hacerlo vía FTP, por lo que ahorrarás tiempo.
Respecto a modificar partes fundamentales en el functions.php, lo ideal será realizar una copia del archivo original en tu ordenador para que, en caso de fallar en algo, siempre puedas volver al estado original de éste.
De todos modos, aquí te dejo una serie de códigos que te podrán ser de utilidad para modificar ciertas secciones de tu wp-admin mediante el archivo functions.php
Modificar la imagen del logotipo del wp-admin con código
function my_login_logo() { ?>
<style type=»text/css»>
#login h1 a, .login h1 a {
background-image: url(<?php echo get_stylesheet_directory_uri(); ?>/img/tuicono.png);
height: 75px;
width: 200px;
background-size: cover;
background-repeat: no-repeat;
}
</style>
<?php }//end my_login_logo()
add_action( ‘login_enqueue_scripts’, ‘my_login_logo’ );
function my_login_logo_url() {
return home_url();
}//end my_login_logo_url()
add_filter( ‘login_headerurl’, ‘my_login_logo_url’ );
function my_login_logo_url_title() {
return ‘Tu icono’;
}//end my_login_logo_url_title()
add_filter( ‘login_headertitle’, ‘my_login_logo_url_title’ );
Para que tu icono aparezca justo arriba del formulario, simplemente tendrás que sustituir la ruta de la imagen actual (/img/tuicono.png) por la ruta donde se encuentre tu icono.
Recuerda que la imagen que utilices como icono a mostrar, deberá tener una dimensiones de 200 pixeles de alto por 75 pixeles de alto o deberás modificarlo acorde a las dimensiones de tu logotipo.
Modificar CSS de tu wp-admin rápidamente Y DE FORMA SENCILLA
Para modificar el CSS del formulario simplemente deberás de escribir el código CSS en el plugin Simple CSS.
Para personalizar los colores de este formulario a tu gusto bastará con que hagas clic derecho sobre el elemento del formulario de wp-admin que quieras modificar (con el navegador Google Chorme).
Una vez hecho clic en el desplegable que aparecerá deberás hacer clic sobre “inspeccionar” y el propio navegador a la derecha, en la sección “Styles” te mostrará los estilos de ese formulario.
En dicha sección podrás modificar todos los estilos a tu antojo hasta que quede como quieras.
Una vez tengas claro el diseño bastará con copiar cada propiedad (ya modificada en Google Chorme) en el plugin Simple CSS y añadir detrás de cada propiedad la palabra “!important”.
Quedando de esta manera un código CSS similar a este:
.login form {
- margin-left: 0 !important;
- padding: 10px !important;
- background: #ff4f4f !important;
}
Con este proceso, corres el riesgo de si no conoces CSS realizar cambios en todo el sitio web por lo que se recomienda realizar los cambios de esta manera siempre y cuando tengas una base mínima en CSS.
Conclusiones
Como has visto a lo largo del post, lo que a priori podría parecer simple como es la pregunta “¿Qué es el wp-admin?”, es más compleja de lo que parece.
No obstante, y si has llegado hasta aquí, te felicito, puesto que ya sabes mucho más sobre el funcionamiento de este CMS, su seguridad y su código.
Por este motivo te animo a que investigues un poco más sobre los diferentes archivos de WordPress, ya que tendrás mucho más conocimiento en el caso de enfrentarte a una brecha de seguridad como las de los ejemplos que te he planteado.
Por último, y si tus conocimientos técnicos o de programación no son especialmente buenos te recomiendo que no te vuelvas loco con la programación.
Hoy en día con los plugins de WP puedes hacer casi de todo, por lo que, si no sabes hacer algo con código, limítate a instalar uno de los muchos plugins que has podido leer a lo largo del post y no tardarás nada en asegurar tu panel de administración y personalizarlo a tu medida.
¿Has tenido algún problema técnico relacionado con el wp-admin de WordPress?
¿Cómo lo resolviste?
Cuéntanos cuál ha sido tu experiencia hasta el momento sobre el tema ¡Hasta la próxima!
Aunque es la opcion mas facil usar los pplug-in por ahi lo mejor es hacerlo via codigo , para no recargarlo tanto al WordPress con tantos plug-in .
Hola amigo/a, a veces lo mejor es que, si tienes conocimientos, lo programes a código. Seguro que Borja te da su opinión al respecto. Saludos