Que levante la mano aquel que no reciba a diario avisos de intentos de acceso a su WordPress… ¿nadie? Vaya! Parece que los intentos de acceso utilizando la fuerza bruta a WordPress son cada vez más frecuentes. En este artículo vamos a ver cómo proteger el administrador de WordPress
¿Qué necesitas para acceder al Panel de Administración de WordPress?
Para acceder al panel de administración de WordPress, necesitas básicamente tres cosas:
- URL de acceso
- Nombre de usuario del administrador
- Contraseña del administrador
Al igual que tú necesitas estos datos, un hacker también los necesita. Por este motivo tenemos que tratar de ponérselo lo más dificil posible.
¿Cómo? Podemos complicarlo todo lo que queramos pero, en la mayoría de los casos basta con modificar los datos que, por defecto, tiene establecidos WordPress tras su instalación.
Cómo cambiar URL acceso al Panel de Administrador
Una de las primeras medidas de seguridad al instalar WordPress consiste en modificar la URL que por defecto asigna WordPress tras la primera instalación:
- https://tudominio.com/wp-admin
- https://tudominio.com/login
Este cambio lo podemos hacer, por ejemplo, desde alguno de los principales plugins de seguridad que tengamos instalados en nuestro sitio web, como iThemes Security, pero también podemos hacerlo de manera individual usando alguno de estos plugins:
En todos estos casos debes tener cuidado no cachear la página de acceso si utilizas algún plugin de caché, como nos cuenta Gerardo en su blog SensacionWeb.
También podemos seguir los pasos que Fernando Tellado nos cuenta en su blog para cambiar la url de acceso de forma manual.
Cambiar datos del administrador
Obviamente, creo que a estas alturas sobra decir que, a la hora de instalar WordPress por primera vez, no se te ocurra dejar el nombre de usuario que aparece por defecto «admin», sino que debes cambiarlo por otro que sólo tú conozcas.
Sin embargo, es probable que, aún habiendo modificado este nombre de usuario, lleguen a averiguarlo a través del ID que ese usuario administrador tiene.
¿Qué es el ID de WordPress?
El ID es un valor numérico que WordPress asigna de forma correlativa a cada nuevo usuario que se añade a nuestro sitio web en la tabla de usuarios de nuestra base de datos. Es decir, a medida que se van creando usuarios nuevos, WordPress les asigna un número identificativo que será el siguiente al último creado, por orden ascendente.
¿Quién tiene el ID número 1?
Por lógica, el primer usuario que creamos en nuestro WordPress es el Administrador, que es el que tendrá acceso al panel de administración.
Así pues, de esta manera, en todas las instalaciones de WordPress coincide que el administrador siempre tiene el usuario ID=1
Sabiendo que el administrador tiene el primer ID, se puede averiguar de una manera muy sencilla el nombre de usuario que tiene este usuario en la base de datos y, por tanto, ya habrás puesto al descubierto uno de los datos necesarios para acceder al back end de tu WordPress como administrador.
1. Cambiar el ID del administrador
Una de las formas más sencillas que existen para cambiar el ID de cualquier usuario (incluido el administrador) es mediante el plugin User ID Changer que, además, se encargará de cambiar también en las tablas de la base de datos los posts y comentarios asociados, asignándolos al nuevo ID
2. Cambiar el nicename del administrador
También puede darse el caso de que, a pesar de haber cambiado el ID del administrador, se nos haya ocurrido publicar artículos o comentarios con el usuario administrador.
Este error es el que más frecuentemente comenten los usuarios de WordPress y es la forma más fácil que tienen los hackers de averiguar nuestro nombre de usuario administrador, ya que aparece públicamente en cualquier comentario o post que consulten en nuestro sitio.
Aquí tienes dos opciones fáciles para solucionar este lapsus:
- Crear un nuevo usuario (únicamente con privilegios de Editor) y asignarle todos los posts y comentarios del administrador a éste nuevo usuario
- Modificar el «user_nicename» en la tabla de usuarios de MySQL
3. Cambiar el nombre para mostrar del administrador
Si has optado por dejar el administador como usuario que publica contenido y has optado por modificar los datos de éste, no sólo basta con cambiar el nicename, sino que también deberás cambiar el «display_name» o Nombre para mostrar, bien a través de MySQL o bien a través de la sección de Usuarios del panel de administrador de WordPress.
Tutorial en vídeo
Dado que el tema de seguridad es muy importante, y haciendo una excepción, te doy acceso a un tutorial que pertenece al Curso de Trucos WordPress (disponible para suscriptores de mi plataforma de cursos sobre WordPress AcademiaWP.online).
Conclusión
Como ves, llevar a cabo estos ajustes preventivos nos ayudará a proteger el administrador de WordPress de posibles ataques de fuerza bruta que, inevitablemente, va a recibir a lo largo del tiempo.
Mi consejo particular es que nunca hagas publicaciones de contenido utilizando el usuario administrador. Crear usuarios en WordPress es gratis! Crea uno específico para publicar y duerme más tranquilo.
¿Y tú cómo proteges el administrador de WordPress? ¿Conoces otros métodos? Deja tu comentario y comparte tu experiencia con otros usuarios.
Hola, un método también seria proteger la carpeta wp-admin con contraseña desde el Cpanel y así tendríamos doble login…
Genial aporte, Jorge!
Muchas gracias por compartirlo 😉