Por defecto, WordPress muestra mensajes de error en la página de inicio de sesión cuando alguien ingresa un nombre de usuario o contraseña incorrectos. Si bien estos mensajes están destinados a ayudar a los usuarios, también pueden dar pistas a los hackers que intentan acceder a su sitio.
Deshabilitar estas pistas de inicio de sesión es una forma sencilla de fortalecer la seguridad de su sitio.
Al ocultar estos detalles, dificulta que los hackers adivinen sus credenciales. Siempre las deshabilitamos en nuestros sitios para una capa adicional de protección.
En este artículo, le mostraremos cómo deshabilitar las pistas de inicio de sesión en WordPress para ayudarlo a hacer que su sitio web sea más seguro.
💡 Respuesta Rápida: Cómo deshabilitar las pistas de inicio de sesión en WordPress
Dado que WordPress también permite iniciar sesión usando una dirección de correo electrónico, los hackers pueden probar diferentes correos para ver cuáles son válidos.
- Instala y activa WPCode.
- Crea un nuevo fragmento de código personalizado.
- Pega el fragmento de código proporcionado.
- Establece el tipo de código en PHP.
- Activa y guarda el fragmento de código.
- Prueba tu nuevo mensaje de error.
¿Qué son las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress?
Las pistas de inicio de sesión son mensajes que WordPress muestra cuando alguien introduce un nombre de usuario o contraseña incorrectos. Si bien pueden ayudar a los usuarios legítimos, también dan pistas a los hackers que intentan acceder a tu sitio.
Por ejemplo, si alguien introduce un nombre de usuario o correo electrónico incorrecto, WordPress muestra: “El nombre de usuario no está registrado en este sitio. Si no estás seguro de tu nombre de usuario, prueba con tu dirección de correo electrónico en su lugar.”
Esto permite a los atacantes saber que el nombre de usuario que intentaron no existe.
Si se introduce un nombre de usuario correcto pero la contraseña es incorrecta, WordPress muestra: “La contraseña que introdujiste para el nombre de usuario es incorrecta. ¿Olvidaste tu contraseña?”
Esto confirma que el nombre de usuario es válido, dejando solo la contraseña para adivinar.
Dado que WordPress también permite iniciar sesión con una dirección de correo electrónico, los hackers pueden probar diferentes correos electrónicos para ver cuáles son válidos.
Una vez que encuentran un correo electrónico correcto, el mensaje de error cambia para indicar que solo la contraseña es incorrecta, dándoles una pista de que van por buen camino.
Para mantenerte seguro, usa siempre un nombre de usuario único y una contraseña segura y difícil de adivinar. También puedes usar un plugin para forzar contraseñas seguras para todos los usuarios de tu sitio.
Incluso con estos pasos, las pistas de inicio de sesión aún pueden ayudar a los hackers, por lo que a continuación te mostraremos cómo ocultarlas en los mensajes de error de WordPress para una mayor seguridad.
Ocultar pistas de inicio de sesión en WordPress
La forma más fácil de deshabilitar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress es pegando algo de código en WordPress. Si bien normalmente no sugerimos esto para principiantes, WPCode facilita que cualquiera agregue código a su sitio web de WordPress.
Puedes agregar el siguiente fragmento de código al final del archivo functions.php de tu sitio, pero hacerlo podría hacer que tu sitio falle.
En nuestra experiencia, WPCode es muy fácil de usar para principiantes y garantiza que incluso si cometes un error al agregar código personalizado, tu sitio permanecerá accesible. Para obtener más información, consulta nuestra revisión detallada de WPCode.
Paso 1: Instala y activa el plugin WPCode
Primero, necesitas instalar y activar el plugin gratuito WPCode. Para obtener instrucciones detalladas, puedes ver nuestra guía sobre cómo instalar un plugin de WordPress.
Una vez activado, todo lo que tienes que hacer es ir a Fragmentos de código » +Agregar fragmento desde tu panel de administración de WordPress. Luego, deberás pasar el cursor sobre ‘Agregar tu código personalizado’ y hacer clic en ‘Usar fragmento’.
Paso 2: Pega el fragmento de código para deshabilitar las pistas de inicio de sesión
Después de eso, simplemente necesitas nombrar tu nuevo fragmento y pegar el siguiente código en el área de ‘Vista previa del código’:
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Este código le dice a WordPress que muestre un mensaje personalizado en lugar del error predeterminado, como '¡Algo salió mal!'
Puedes cambiar el texto '¡Algo salió mal!' en el código para mostrar el mensaje personalizado que desees.
return 'Something is wrong!';
Asegúrate de seleccionar PHP en el menú desplegable 'Tipo de código', y luego puedes cambiar el interruptor de 'Inactivo' a 'Activo' y hacer clic en 'Guardar fragmento'.
Paso 3: Prueba el nuevo mensaje de error de inicio de sesión
Una vez que hayas hecho eso, es una buena idea probar tu nuevo mensaje de error.
Para hacer esta prueba, simplemente dirígete a la página de inicio de sesión de tu sitio web y escribe el nombre de usuario, contraseña o correo electrónico incorrectos. Luego, haz clic en el botón 'Iniciar sesión'.
WordPress ahora mostrará tu nuevo mensaje de error sin darte ninguna pista sobre lo que podría estar mal.
Ahora, ten en cuenta que si bien este código deshabilitará las pistas de inicio de sesión en WordPress, no te protegerá de intentos más avanzados o ataques de fuerza bruta.
La forma más fácil de evitar que los hackers accedan a tu sitio es usar un plugin de seguridad de WordPress dedicado como Sucuri, o un servicio como Cloudflare que proporciona un Firewall de Aplicaciones Web (WAF).
Para obtener más información, puedes leer nuestra guía definitiva sobre cómo asegurar tu sitio web de WordPress.
Tutorial en video
Para hacerlo más fácil, también hemos creado un tutorial en video sobre cómo deshabilitar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress.
Consejo Adicional: Mejora la seguridad de tu inicio de sesión de WordPress
Ahora que conoces la importancia de un nombre de usuario y una contraseña seguros, exploremos algunas formas adicionales de mejorar la seguridad de tu inicio de sesión. Es importante no solo para ti, sino también para cualquiera que contribuya a tu blog, especialmente si múltiples autores lo administran.
Aquí tienes algunos consejos adicionales para mantener tus cuentas aún más seguras:
- Habilita la Autenticación de Dos Factores (2FA): Esto agrega una capa adicional de seguridad al requerir una segunda forma de verificación, como un código de mensaje de texto o una pregunta de seguridad.
- Usa un Gestor de Contraseñas: Estas herramientas te ayudan a crear y almacenar contraseñas complejas de forma segura, para que no tengas que recordarlas todas.
- Actualiza tu Contraseña Regularmente: Cambia tus contraseñas cada pocos meses para minimizar el riesgo de acceso no autorizado. Es aún mejor si puedes forzar la actualización de contraseñas para los usuarios.
- Evita Usar Wi-Fi Público para Inicios de Sesión Sensibles: Si es posible, usa una conexión segura y privada al iniciar sesión en cuentas importantes.
- Mantén tu Software Actualizado: Las actualizaciones regulares pueden protegerte de vulnerabilidades de seguridad que los atacantes pueden explotar.
Además, es posible que desees limitar los intentos de inicio de sesión en tu sitio de WordPress.
Durante un ataque de fuerza bruta, los hackers utilizan software automatizado para adivinar contraseñas repetidamente debido a que la plataforma permite por defecto intentos de inicio de sesión ilimitados.
Limitar los intentos fallidos de inicio de sesión, como bloquear temporalmente a los usuarios después de 5 intentos fallidos, reduce significativamente el riesgo de acceso no autorizado por ataques de fuerza bruta.
Preguntas frecuentes sobre cómo ocultar las pistas de inicio de sesión en WordPress
Aquí hay algunas preguntas que nuestros lectores han hecho con frecuencia sobre cómo ocultar las pistas de inicio de sesión de los mensajes de error de inicio de sesión de WordPress:
¿Cómo solucionar el error de inicio de sesión de WordPress en el administrador de WP?
Para solucionar un error de inicio de sesión de WordPress en el administrador de WP, primero verifica que tu nombre de usuario y contraseña sean correctos. Si el problema persiste, intenta borrar las cookies del navegador, deshabilitar plugins a través de FTP o restablecer tu contraseña a través de phpMyAdmin.
¿Cómo elimino la opción de inicio de sesión en WordPress?
Puedes eliminar la opción de inicio de sesión en WordPress redirigiendo la página de inicio de sesión predeterminada a otra página o usando un plugin como WPS Hide Login. Esto es útil para sitios de membresía o sitios que desean limitar el acceso solo a usuarios registrados.
¿Cuáles son los errores comunes de inicio de sesión de WordPress?
Los errores comunes de inicio de sesión de WordPress incluyen "Contraseña incorrecta", "Nombre de usuario desconocido", "Demasiados intentos de inicio de sesión fallidos" y "Las cookies están bloqueadas o no son compatibles". Estos suelen ocurrir debido a credenciales incorrectas, conflictos de plugins o problemas de caché.
¿Cómo borrar el registro de errores de WordPress?
Puedes borrar el registro de errores de WordPress accediendo a la carpeta wp-content en tu servidor, localizando el archivo debug.log y eliminando su contenido. Alternativamente, puedes deshabilitar el registro en tu archivo wp-config.php para evitar que se registren nuevos errores.
Esperamos que este artículo te haya ayudado a aprender cómo ocultar las pistas de inicio de sesión de los mensajes de error de inicio de sesión de WordPress. A continuación, también te puede interesar nuestra guía sobre cómo crear un portal para clientes con inicios de sesión y páginas privadas o cómo agregar un inicio de sesión social a WordPress.
Si te gustó este artículo, suscríbete a nuestro Canal de YouTube para ver tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Dennis Muthomi
Sugeriría llevar esto un paso más allá implementando la autenticación de dos factores para una capa adicional de seguridad. He deshabilitado las pistas de inicio de sesión e implementado 2FA solo para estar seguro (ya me han hackeado antes).
Thomas Maier
Hola, ¿cómo puedo traducir el código anterior a diferentes idiomas? Lo necesito para el inicio de sesión de WooCommerce para los clientes.
Soporte de WPBeginner
Querrías cambiar el texto '¡Algo salió mal!' por el texto que desees, pero si quieres que el texto cambie a varios idiomas, eso requeriría un poco más de codificación de la que tendríamos para un artículo para principiantes. En ese caso, querrías echar un vistazo a los plugins multilingües.
Administrador
Vahn
¡Muchas gracias! Pasé horas buscando el lugar para cambiar esto.
Soporte de WPBeginner
Glad our guide was helpful
Administrador
Izzy
Cuando agrego esto a mi plugin WpTouch, muestra una parte del código en mi encabezado...
Soporte de WPBeginner
Siempre y cuando el código funcione en la versión de escritorio, deberías contactar a WPTouch para informarles sobre ese problema y que lo revisen.
Administrador
Anand
Bueno, es fácil saber el nombre de usuario si es correcto, ya que cuando se ingresa el nombre de usuario correcto y la contraseña incorrecta, el campo del nombre de usuario no se queda en blanco incluso después de recibir la advertencia de 'algo salió mal'. Lo que claramente es una pista de que sí, este es el nombre de usuario correcto. ¿Hay alguna forma de que el campo del nombre de usuario se quede en blanco en este escenario? Por favor, ayuda.
Shane
¿Hay alguna forma de cambiar el texto del mensaje de error en la página de recuperación de contraseña que dice por defecto: “Por favor, introduce tu nombre de usuario o dirección de correo electrónico. Recibirás un enlace para crear una nueva contraseña por correo electrónico.”?
No parece que encuentre ningún material sobre el tema
Nick
Me estaba preguntando lo mismo. ¿Por qué no podemos simplemente cambiar la redacción del mensaje de error en lugar de agregar una función que podría ser sobrescrita con la próxima actualización?
Paco
Lo único es que cuando introduces un nombre de usuario correcto y una contraseña incorrecta, da un mensaje “algo salió mal”, pero puedes ver el nombre de usuario, lo que lo confirma en caso de que lo hayas adivinado. No sé si esto sucede en WordPress 4.5. ¿Hay alguna forma de dejar el campo de nombre de usuario en blanco aunque sea correcto? Gracias
maudenicholson2
Tengo curiosidad por saber qué sistema de blogs estás usando. Tengo algunos pequeños problemas de seguridad con mi último sitio web y me gustaría encontrar algo más seguro. ¿Tienes alguna solución?
Soporte de WPBeginner
Estamos usando WordPress con Sucuri.
Administrador
freyaewu73605919
Estoy verdaderamente agradecido al propietario de esta página web que ha compartido este enorme artículo en este momento.
deneengranger
¿Tienes algún video de eso? Me gustaría obtener información adicional.
Soporte de WPBeginner
El video estará disponible pronto. Suscríbete a nuestro Canal de YouTube.
Administrador
Bob
WP Simple Firewall o Shield te da la capacidad de ocultar el menú de inicio de sesión, bloquear el Panel de administración y viene con prevención de ataques de fuerza bruta y de Sucuri. Es un plugin gratuito, úsalo junto con un gestor de contraseñas, para que no olvides o pierdas tus contraseñas. Yo uso Lastpass, que también es gratuito. Shield reemplazó seis plugins de seguridad y aceleró mi sitio web.
Phillip George
¿Hay una línea de ayuda en Australia, ya que he olvidado mi nombre de usuario para iniciar sesión, siendo un poco mayor, es un problema?
Bob
¡Hola Phillip! Lo siento, amigo, no hay línea de ayuda. Intenta contactar a quien sea que aloje tu sitio web, ellos deberían poder ayudarte. Una vez restablecido, usa un gestor de contraseñas como Lastpass, solo tienes que recordar una contraseña. ¡ESCRÍBELA!; ¿dije escríbela? porque si no lo haces, ESCRIBIRLA, realmente estarás en apuros, sin remedio.