Que levante la mano aquel que no reciba a diario avisos de intentos de acceso a su WordPress… ¿nadie? Vaya! Parece que los intentos de acceso utilizando la fuerza bruta a WordPress son cada vez más frecuentes. En este artículo vamos a ver cómo proteger el administrador de WordPress.
Administrador WordPress
La figura del administrador de WordPress es la columna vertebral de cualquier sitio web desarrollado en esta plataforma. Se trata del rol con mayores privilegios, lo que le permite realizar cambios sustanciales tanto en la apariencia como en la funcionalidad del sitio. Desde instalar temas y plugins hasta modificar usuarios y configuraciones clave, el administrador tiene control total, razón por la cual es primordial asegurar este acceso contra posibles amenazas informáticas.
Una de las medidas críticas para la protección es la implementación de contraseñas robustas. No basta con crear una clave larga y compleja; es vital actualizarla periódicamente y evitar el uso de la misma contraseña en otros servicios. Esta práctica, junto con el uso de gestores de contraseñas, fortalece la seguridad del perfil de administrador, dificultando significativamente el acceso indebido a manos de actores maliciosos.
El uso de autenticación de dos factores (2FA) añade una capa extra de protección insustituible. Al requerir un segundo método de verificación, como un código enviado a un dispositivo móvil, el administrador de WordPress puede estar seguro de que incluso si la contraseña es comprometida, el acceso al panel de control del sitio web seguirá estando protegido. La 2FA es una de las estrategias de seguridad más recomendadas en la actualidad para cualquier cuenta en línea.
Es fundamental estar al día con las actualizaciones de WordPress, incluyendo las de temas y plugins. Estas actualizaciones no solo ofrecen nuevas características y mejoras en el rendimiento, sino que también corrigen vulnerabilidades de seguridad que podrían ser explotadas para tomar control del administrador de WordPress. Mantener un calendario de actualizaciones y realizar copias de seguridad regulares son prácticas que contribuyen a la integridad y seguridad del sitio.
Por último, limitar los intentos de inicio de sesión es una técnica eficaz para prevenir ataques de fuerza bruta. Plugins de seguridad especializados pueden bloquear direcciones IP después de cierto número de intentos fallidos de acceso al administrador de WordPress. Este enfoque no solo detiene a los atacantes automatizados, sino que también alerta al administrador sobre posibles intentos de intrusión, permitiendo tomar medidas adicionales si es necesario.
¿Qué necesitas para acceder al Panel de Administración de WordPress?
Para acceder al panel de administración de WordPress, necesitas básicamente tres cosas:
- URL de acceso
- Nombre de usuario del administrador
- Contraseña del administrador
Al igual que tú necesitas estos datos, un hacker también los necesita. Por este motivo tenemos que tratar de ponérselo lo más dificil posible.
¿Cómo? Podemos complicarlo todo lo que queramos pero, en la mayoría de los casos basta con modificar los datos que, por defecto, tiene establecidos WordPress tras su instalación.
Cómo cambiar URL acceso al Panel de Administrador
Una de las primeras medidas de seguridad al instalar WordPress consiste en modificar la URL que por defecto asigna WordPress tras la primera instalación:
- https://tudominio.com/wp-admin
- https://tudominio.com/login
Este cambio lo podemos hacer, por ejemplo, desde alguno de los principales plugins de seguridad que tengamos instalados en nuestro sitio web, como iThemes Security, pero también podemos hacerlo de manera individual usando alguno de estos plugins:
En todos estos casos debes tener cuidado no cachear la página de acceso si utilizas algún plugin de caché, como nos cuenta Gerardo en su blog SensacionWeb.
También podemos seguir los pasos que Fernando Tellado nos cuenta en su blog para cambiar la url de acceso de forma manual.
Cambiar datos del administrador
Obviamente, creo que a estas alturas sobra decir que, a la hora de instalar WordPress por primera vez, no se te ocurra dejar el nombre de usuario que aparece por defecto “admin”, sino que debes cambiarlo por otro que sólo tú conozcas.
Sin embargo, es probable que, aún habiendo modificado este nombre de usuario, lleguen a averiguarlo a través del ID que ese usuario administrador tiene.
¿Qué es el ID de WordPress?
El ID es un valor numérico que WordPress asigna de forma correlativa a cada nuevo usuario que se añade a nuestro sitio web en la tabla de usuarios de nuestra base de datos. Es decir, a medida que se van creando usuarios nuevos, WordPress les asigna un número identificativo que será el siguiente al último creado, por orden ascendente.
¿Quién tiene el ID número 1?
Por lógica, el primer usuario que creamos en nuestro WordPress es el Administrador, que es el que tendrá acceso al panel de administración.
Así pues, de esta manera, en todas las instalaciones de WordPress coincide que el administrador siempre tiene el usuario ID=1
Sabiendo que el administrador tiene el primer ID, se puede averiguar de una manera muy sencilla el nombre de usuario que tiene este usuario en la base de datos y, por tanto, ya habrás puesto al descubierto uno de los datos necesarios para acceder al back end de tu WordPress como administrador.
1. Cambiar el ID del administrador
Una de las formas más sencillas que existen para cambiar el ID de cualquier usuario (incluido el administrador) es mediante el plugin User ID Changer que, además, se encargará de cambiar también en las tablas de la base de datos los posts y comentarios asociados, asignándolos al nuevo ID
2. Cambiar el nicename del administrador
También puede darse el caso de que, a pesar de haber cambiado el ID del administrador, se nos haya ocurrido publicar artículos o comentarios con el usuario administrador.
Este error es el que más frecuentemente comenten los usuarios de WordPress y es la forma más fácil que tienen los hackers de averiguar nuestro nombre de usuario administrador, ya que aparece públicamente en cualquier comentario o post que consulten en nuestro sitio.
Aquí tienes dos opciones fáciles para solucionar este lapsus:
- Crear un nuevo usuario (únicamente con privilegios de Editor) y asignarle todos los posts y comentarios del administrador a éste nuevo usuario
- Modificar el “user_nicename” en la tabla de usuarios de MySQL
3. Cambiar el nombre para mostrar del administrador
Si has optado por dejar el administador como usuario que publica contenido y has optado por modificar los datos de éste, no sólo basta con cambiar el nicename, sino que también deberás cambiar el “display_name” o Nombre para mostrar, bien a través de MySQL o bien a través de la sección de Usuarios del panel de administrador de WordPress.
Conclusión
Como ves, llevar a cabo estos ajustes preventivos nos ayudará a proteger el administrador de WordPress de posibles ataques de fuerza bruta que, inevitablemente, va a recibir a lo largo del tiempo.
Mi consejo particular es que nunca hagas publicaciones de contenido utilizando el usuario administrador. Crear usuarios en WordPress es gratis! Crea uno específico para publicar y duerme más tranquilo.
¿Y tú cómo proteges el administrador de WordPress? ¿Conoces otros métodos? Deja tu comentario y comparte tu experiencia con otros usuarios.
Hola, un método también seria proteger la carpeta wp-admin con contraseña desde el Cpanel y así tendríamos doble login…
Genial aporte, Jorge!
Muchas gracias por compartirlo 😉