Los propietarios de sitios web deben priorizar la seguridad de WordPress para proteger sus datos sensibles y mantener la confianza de sus usuarios. Una forma muy eficaz de hacerlo en WPBeginner es protegiendo con contraseña nuestro directorio de administración de WordPress.
El directorio wp-admin es el centro de control de tu sitio de WordPress. Es donde administras todo, desde el contenido hasta la configuración, lo que lo convierte en un objetivo principal para los hackers. Proteger con contraseña tus archivos de administración los mantendrá a salvo de ataques.
Este artículo proporciona una guía sencilla para proteger fácilmente con contraseña tu directorio wp-admin y fortalecer la seguridad de tu sitio web.
¿Por qué proteger con contraseña tu directorio de administración de WordPress?
Al proteger con contraseña tu directorio de administración de WordPress, agregas una capa adicional de seguridad al punto de entrada más importante de tu sitio web de WordPress.
Tu panel de administración de WordPress es el centro neurálgico de tu sitio. Es donde publicarás entradas y páginas, personalizarás tu tema, instalarás plugins de WordPress y más.
A menudo, cuando los hackers intentan acceder a tu sitio web, lo harán a través de la pantalla wp-admin utilizando un ataque de fuerza bruta.
Puedes ayudar a proteger tu sitio web contra posibles ataques utilizando medidas de seguridad como una contraseña segura y limitando los intentos de inicio de sesión.
Para estar aún más seguro, también puedes proteger con contraseña el directorio wp-admin. Luego, cuando alguien intente acceder a tu área de administración, necesitará ingresar un nombre de usuario y una contraseña antes de llegar a la página de inicio de sesión de WordPress.
Dicho esto, veamos cómo puedes proteger con contraseña tu directorio de administración de WordPress paso a paso.
El primer método se recomienda para la mayoría de los usuarios, y puedes usar los enlaces rápidos a continuación para saltar directamente al método que deseas usar:
- Protege con contraseña wp-admin usando Privacidad de Directorio (Recomendado)
- Protege con contraseña wp-admin usando Código
- Solución de problemas de protección con contraseña de wp-admin
- Extra: Las mejores guías de WordPress para la seguridad de wp-admin
Tutorial en video
Si prefieres instrucciones escritas, sigue leyendo.
Método 1: Protege con contraseña wp-admin usando Privacidad de Directorio (Recomendado)
La forma más fácil de proteger con contraseña tu directorio de administración de WordPress es utilizando la aplicación de Privacidad de Directorio de tu proveedor de hosting de WordPress.
Primero, necesitas iniciar sesión en el panel de control de tu cuenta de hosting y hacer clic en la opción ‘Privacidad del directorio’ en la sección Archivos de tu panel de control cPanel de tu sitio web.
Nota: La mayoría de los proveedores de hosting que usan cPanel, como Bluehost, tendrán pasos similares. Sin embargo, tu panel de control podría ser ligeramente diferente a nuestras capturas de pantalla, dependiendo de tu proveedor de hosting.
Esto te lleva a una pantalla que enumera todos los directorios diferentes en tu servidor. Necesitas encontrar la carpeta que contiene los archivos de tu sitio web.
Para la mayoría de los propietarios de sitios web, esto se puede encontrar haciendo clic en la carpeta ‘public_html’.
Esto muestra todos los archivos del sitio web que has instalado en tu servidor.
A continuación, deberás hacer clic en la carpeta con el nombre de dominio de tu sitio web.
En esa carpeta, verás una carpeta wp-admin.
En lugar de hacer clic en el nombre de la carpeta, deberás hacer clic en el botón ‘Editar’ junto a esa carpeta.
Esto te lleva a una pantalla donde puedes activar la protección con contraseña.
Simplemente marca la casilla que dice ‘Proteger este directorio con contraseña’. Si lo deseas, también puedes darle un nombre a tu directorio como ‘Área de Administración’ para ayudarte a recordarlo.
Una vez que hayas hecho eso, deberás hacer clic en el botón ‘Guardar’.
Esto te llevará a una página donde aparecerá el mensaje de confirmación.
Ahora, deberás hacer clic en el botón ‘Regresar’, y te llevará a una pantalla donde podrás crear un usuario que podrá acceder a este directorio.
Se te pedirá que ingreses un nombre de usuario y una contraseña, y luego confirmes la contraseña. Asegúrate de anotar tu nombre de usuario y contraseña en un lugar seguro, como una aplicación de administrador de contraseñas.
Asegúrate de hacer clic en el botón ‘Guardar’ cuando hayas terminado.
Ahora, cuando alguien intente acceder a tu directorio wp-admin, se le pedirá que ingrese el nombre de usuario y la contraseña que creaste anteriormente.
Método 2: Proteger wp-admin con contraseña usando código
También puedes proteger manualmente tu directorio de administración de WordPress con contraseña. Para hacer esto, necesitarás crear dos archivos llamados .htpasswd y .htaccess.
Nota: Agregar cualquier código a tu sitio de WordPress puede ser peligroso. Incluso un pequeño error puede causar grandes problemas en tu sitio web. Solo recomendamos este método para usuarios avanzados.
Creación del archivo .htaccess
Primero, abre tu editor de texto preferido y nombra el nuevo archivo .htaccess.
Después de eso, necesitas copiar el siguiente fragmento de código y agregarlo al archivo:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Asegúrate de cambiar la ruta de ‘AuthUserFile’ a la ubicación donde subirás el archivo .htpasswd y cambia ‘yourusername’ por el nombre de usuario que deseas usar para iniciar sesión.
No olvides guardar el archivo cuando hayas terminado.
Creando el archivo .htpasswd
Una vez que hayas hecho eso, necesitas crear un archivo .htpasswd.
Para hacer esto, abre un editor de texto y crea un archivo llamado .htpasswd. Este archivo listará tu nombre de usuario junto con tu contraseña en formato cifrado.
La forma más fácil de generar la contraseña cifrada es con un generador de htpasswd.
Simplemente ingresa tu nombre de usuario y contraseña, selecciona el formato de cifrado y haz clic en el botón ‘Crear archivo .htpasswd’.
El generador de htpasswd mostrará una línea de texto que necesitas pegar en tu archivo .htpasswd. Asegúrate de guardar el archivo una vez que hayas hecho eso.
Subiendo .htaccess y .htpasswd al Directorio wp-admin
El último paso es subir ambos archivos que creaste a la carpeta wp-admin de tu sitio web.
Necesitarás conectarte a tu cuenta de hosting de WordPress usando un cliente FTP o la herramienta de administrador de archivos en línea proporcionada por tu proveedor de hosting. Para más detalles, consulta nuestra guía para principiantes sobre cómo usar FTP para subir archivos a WordPress.
Para este tutorial, usaremos FileZilla porque es gratuito y funciona tanto en Mac como en Windows.
Una vez que te hayas conectado a tu sitio web, verás los archivos en tu computadora en la ventana izquierda y los archivos de tu sitio web en la derecha. En la izquierda, deberás navegar a la ubicación donde guardaste los archivos .htaccess y .htpasswd.
Luego, en la derecha, deberás ir al directorio wp-admin del sitio web que deseas proteger. La mayoría de los usuarios deberán hacer doble clic en la carpeta public_html, luego en la carpeta con el nombre de su dominio, y después en la carpeta wp-admin.
Ahora, puedes seleccionar los dos archivos de la izquierda y hacer clic en ‘Subir’ en el menú contextual o simplemente arrastrar los archivos a la ventana izquierda.
Ahora, tu directorio ‘wp-admin’ estará protegido con contraseña.
Solución de problemas de protección con contraseña de wp-admin
Dependiendo de cómo estén configurados tu servidor y tu sitio web, existe la posibilidad de que te encuentres con errores de WordPress. Estos errores se pueden solucionar agregando cuidadosamente código a tu archivo .htaccess.
Nota: Este es el archivo .htaccess ubicado en la carpeta principal de tu sitio web, no el que subiste a la carpeta ‘wp-admin’. Si tienes problemas para encontrarlo, consulta nuestra guía sobre por qué no puedes encontrar .htaccess y cómo localizarlo.
Solución al error de Ajax que no funciona
Uno de los errores más comunes es que la funcionalidad Ajax puede dejar de funcionar en el front-end de tu sitio. Si tienes plugins de WordPress que requieren Ajax, como búsqueda Ajax en vivo o formularios de contacto Ajax, notarás que estos plugins ya no funcionarán.
Para solucionar esto, simplemente agrega el siguiente código al archivo .htaccess que se encuentra en tu carpeta wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Solución al error 404 y al error de demasiadas redirecciones
Otros dos errores con los que podrías encontrarte son el error 404 y el error de demasiadas redirecciones.
La forma más sencilla de solucionarlos es abrir tu archivo .htaccess principal ubicado en el directorio de tu sitio web y agregar la siguiente línea de código antes de las reglas de WordPress:
ErrorDocument 401 default
Extra: Las mejores guías de WordPress para la seguridad de wp-admin
Esperamos que este artículo te haya ayudado a aprender cómo proteger con contraseña tu directorio de administrador de WordPress (wp-admin). Quizás quieras ver algunas guías adicionales sobre cómo hacer más seguro tu área de administración:
- Cómo restringir el acceso de administrador de WordPress por dirección IP
- Consejos Vitales para Proteger tu Área de Administración de WordPress (Actualizado)
- Cómo agregar una URL de inicio de sesión personalizada en WordPress (paso a paso)
- Cómo y por qué deberías limitar los intentos de inicio de sesión en WordPress
- Cómo agregar autenticación de dos factores en WordPress (método gratuito)
- Cómo agregar preguntas de seguridad a la pantalla de inicio de sesión de WordPress
- Cómo forzar a los usuarios a cambiar contraseñas en WordPress – Expire Password
- Cómo restablecer contraseñas para todos los usuarios en WordPress
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Rauf
Señor, cuando inicio sesión, el botón emergente aparece una y otra vez pidiendo que ingrese el nombre de usuario y la contraseña
demonkoryu
Editar: Veo que tu problema no es con los comentarios de Disqus (facepalm), pero podría ser aplicable en tu caso de todos modos.
Esto también me pasó.
a) Borra todas las cookies (para Disqus y el sitio donde intentas usarlo)
b) Prueba con otro navegador distinto al que estás usando actualmente
Thomas
Esto no me funciona en WordPress 3.9.1. Obtengo un error 500 (error interno del servidor) para cualquier página de administración, y la página wp-login.php se carga pero no se muestra correctamente.
He agregado el código para el error 404 al archivo .htaccess principal, y he agregado el código ajax al archivo .htaccess de wp-admin/.htaccess. No hay cambios.
¿Qué podría estar causando esto? ¿Está mi servidor o mi instalación de WordPress mal configurada de alguna manera?
Abinash Mohanty
Hi Syed, Thanks for the tips! I tried with Cpanel method and then added the following .htaccess scripts. The modal pop up window was not working previously and I realized that there was another usename, which was assigned for the same purpose in the past. So what I did was removed all previously assigned usernames and added a new one followed by the new password. The modal popup started working like a charm
Thanks a lot.
David
¡Gracias! –
resolvió mi problema de bucle de redirección con ErrorDocument 401 default
Invitado
Agregué el código admin-ajax a mi archivo .htaccess de /wp-admin, pero eso no solucionó el problema. El plugin All-In-One-Event-Calendar todavía no puede acceder a admin-ajax en el front-end.
Por favor, avisen.
¡Gracias!
bamajr
¿No resolvería esto agregar la autenticación de dos pasos al proceso de inicio de sesión del administrador de WordPress? Por ejemplo, ¿usando Authy (¡y su plugin asociado!)?
Soporte de WPBeginner
Sí, pero una capa adicional fortalece la seguridad.
Administrador
Chris Christoff
Hola a todos,
Nota rápida, admin-ajax.php no es lo único a lo que los plugins necesitan acceso. También necesitas permitir el acceso no protegido por contraseña a async-upload.php y media-upload.php
Estos son utilizados por los plugins para permitir la carga de archivos en el front-end (como cargar un archivo durante un proceso de pago).
-Chris
bikramjit singh
Hola... soy nuevo en WordPress y un visitante regular aquí. Estoy teniendo un problema. Cuando intento iniciar sesión en mi panel de WordPress, el panel para ingresar el nombre de usuario y la contraseña no aparece. El sitio se abre solo. Mi dominio es http://www.tradethetechnicals.com.How ¿Cómo puedo solucionar este problema?
Soporte de WPBeginner
Puedes visitar tu página de inicio de sesión aquí: http://tradethetechnicals.com/wp-admin
Administrador
Abinash Mohanty
Hi Syed Balkhi,
You made my day! I was getting regular attempts to hack by unknown sources. Thanks for the process, I have fixed mine. It’s better and way easier than wordpress codex
Kushal Jayswal
¡Hola, estoy confundido!
Si bloqueo el directorio wp-admin, ¿los autores registrados pueden acceder a "http://site.com/wp-admin" en el navegador? ¿O también necesitan nombre de usuario y contraseña?
Mira, en mi blog cualquiera puede iniciar sesión directamente con Facebook, así que en ese caso, si la contraseña y el nombre de usuario son obligatorios para todos los usuarios. Será un poco complejo de manejar...
¿Algún comentario?
Soporte de WPBeginner
tus autores registrados necesitarán contraseña para acceder al área de administración de WP.
Administrador
Phil Alcock
Gracias por la corrección de AJAX. Agregué esas pocas líneas y solucionó mi problema con un plugin. Mucho más fácil que la sugerencia en el Codex de WordPress.
Inayu Mustikayu
i follow the manual tutorial and and with 500 error, after trial and error get this work with :
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
changed to just
AuthUserFile /home/yourdirectory/.htpasswds
in my small tiny ubuntu apache vps
aryan
hola,
uso este método de contraseña,
¡por favor ayúdame, porque estas ventanas emergentes no se abren en UCBrowser!
entonces, dime, ¿puedo crear una página, una página HTML o cualquier tipo de página para iniciar sesión? No quiero mostrar una ventana emergente, quiero mostrar una página de inicio de sesión y las otras funciones igual.
Soporte de WPBeginner
Puedes crear una página de inicio de sesión personalizada para WordPress.
Administrador
Chathu
Si sigo el método de cPanel, ¿hay alguna forma de eliminar la contraseña?
¡Gracias!
Masood
Gracias por compartir, muy útil
Arthur
¡Wow! ¡Al fin! El "ErrorDocument 401 default" hizo el truco. Estaba perdiendo la paciencia con el problema de redirección...
Muchas gracias por compartir eso.
James
Parece que funciona muy bien, excepto que pide autenticación en nuestra página de inicio, no solo al acceder a wp-admin. ¿Podría ser otro plugin el que llama a un archivo que no sea admin-ajax.php?
Personal editorial
Sí, es muy posible que otro plugin esté llamando a admin-ajax.php. Deberías usar la corrección mencionada anteriormente.
Administrador
Jeffro
Solo quería hacerles saber que cuando fui a administrar mis suscripciones aquí en el sitio a través del enlace por correo electrónico, recibí el aviso de nombre de usuario y contraseña. Al hacer clic en Cancelar, pude administrar mis suscripciones. Después de seleccionar una opción y hacer clic en guardar, apareció el aviso nuevamente, y al hacer clic en cancelar, la acción también se realizó. Solo se los informo por si acaso no querían que esto le sucediera a otras personas.
Muhammad Ahsan
¿Debo copiar la línea “ErrorDocument 401 default” en el archivo .htaccess en el archivo /wp-admin/.htaccess? ¿O en algún otro archivo .htaccess?
Personal editorial
Deberías pegar esto en el archivo .htaccess principal.
Administrador
pankaj
Hola,
Como me dijiste, lo hice, pero cuando abro el directorio wp-admin, obtengo un error como "La página no se está redirigiendo correctamente".
Firefox ha detectado que el servidor está redirigiendo la solicitud para esta dirección de una manera que nunca se completará.
Este problema a veces puede ser causado por deshabilitar o rechazar la aceptación de
cookies”.
Ni siquiera en Google Chrome aparece la ventana emergente. ¿Puedes decirme cómo resolver este problema?
Gracias de antemano.
Personal editorial
Tienes que leer la sección del artículo que dice: Error de demasiadas redirecciones
Administrador
Ed Emery
Hola,
Este problema ha estado ocurriendo desde el primer día la semana pasada cuando instalé WP por primera vez. Acabo de seguir el paso a paso de Cómo proteger con contraseña tu directorio de administración de WordPress (wp-admin), ¡pero el mismo problema! Aquí hay una captura de pantalla de lo que / quién / hacker está sucediendo.
Primero esto:
El servidor sacramentofan.com en WPBeginner Admins Only requiere un nombre de usuario y una contraseña.
Advertencia: Este servidor está solicitando que tu nombre de usuario y contraseña se envíen de manera insegura (autenticación básica sin una conexión segura).
Luego esto después de intentar iniciar sesión:
El servidor sacramentofan.com en Protección contra ataques de WordPress CAPTCHA. Ingresa nombre de usuario: e7en4d Contraseña: El resultado de la suma 16+4 requiere un nombre de usuario y contraseña.
Advertencia: Este servidor está solicitando que tu nombre de usuario y contraseña se envíen de manera insegura (autenticación básica sin una conexión segura).
Entonces, ¿cómo detengo esto ya que lo he intentado todo desde el jueves pasado 18-07-2013?
Gracias,
Ed
Personal editorial
Es un problema demasiado complejo para explicar solo con escucharlo. Realmente tendría que ver qué está pasando. Parece que algún plugin está causando este problema.
Administrador
David McMahon
Muchas gracias por este útil consejo. Me preguntaba por qué seguía recibiendo el temido mensaje de Firefox de "la solicitud nunca se completará", ¡pero ahora ya no!
Akash Deep Satpathi
¡Hola! Seguí tu tutorial con cPanel, pero después no pude ver mi panel de control. Decía "esta página web tiene un bucle de redirección" en Google Chrome. Entonces, ¿qué me falta?
Personal editorial
Lee la sección que explica el error 404 o el problema de demasiadas redirecciones.
Administrador
Meher
Hola,
Muchas gracias por tu artículo.
Estaba intentando agregar una capa de inicio de sesión adicional a la carpeta wp-admin y me estaba redirigiendo a un error de - Demasiados redireccionamientos -.
Busqué mucho en Google y encontré tu artículo. Esto realmente me ayudó a resolver este problema.
Gracias una vez más.
Dan
Mismo problema aquí.
arman
funciona bien
pero hay un problema.
cuando los usuarios normales inician sesión y quieren ir al panel de control y cambiar alguna información como la foto de perfil, ¡¡¡¡¡tienen que responder también con la contraseña de este usuario!!
¿hay alguna posibilidad de configurar esta carpeta protegida solo para administradores o ignorarla para el panel de control de usuarios normales?
Personal editorial
No. Tendrías que hacerlo para todos los usuarios.
Administrador
ARMAN
Entonces, si uso esto para todos los usuarios, ¡¡¡¡¡significa que todos los usuarios deben tener mi nombre de usuario y contraseña para la Carpeta Protegida!!
entonces cualquiera puede registrarse y cualquiera debe tener este nombre de usuario y contraseña, ¡¡entonces cualquier hacker puede registrarse como usuario en mi sitio y obtener este nombre de usuario y contraseña!!
Entonces, proteger wp-admin solo es útil para sitios con un administrador o con algunos usuarios especiales para compartir esta contraseña de usuario...
Personal editorial
Puedes crear múltiples usuarios en .htpswd. Tendrías que usar lo que se llama un grupo.
fox
ooohhh hombre gracias por tu ayuda :
ErrorDocument 401 default
¡¡¡¡¡funciona perfecto!!!!!
Nishant
Gracias por los consejos. He implementado la protección con contraseña del directorio Wp-Admin y también he agregado autenticación doble usando Google Authenticator. Parece que funciona bien.
Recientemente migré a un nuevo host (Bluehost) y configuré mi sitio de WordPress.
He instalado el plugin de seguridad Wordfence. La configuración del plugin es tal que cada vez que alguien inicia sesión (incluyéndome a mí), recibo una alerta por correo electrónico. Y también, si alguien intenta iniciar sesión con un nombre de usuario no válido, bloquea esa dirección IP durante 10 minutos y envía un correo electrónico notificándome que ha habido un intento fallido de inicio de sesión.
Considerando que he protegido con contraseña mi directorio Wp-admin, a menos que alguien conozca el usuario y la contraseña, no podrá acceder a wp-admin o wp-login para intentar iniciar sesión en mi WordPress.
Pero anoche recibí algunos correos electrónicos de Wordfence citando que se han bloqueado algunas direcciones IP por haber realizado intentos fallidos de iniciar sesión en WordPress usando nombres de usuario inválidos (como admin, Admin o nishant). ¿Es posible omitir la protección de contraseña del lado del servidor del directorio wp-admin e intentar iniciar sesión en WordPress?
Nishant
Nishant
Además, acabo de notar que...
Cuando uso la URL directamente a wp-login, se me muestra la ventana de contraseña del lado del servidor para el directorio wp-admin. Pero cuando hago clic en cancelar en esa ventana de contraseña (2 o 3 veces), ¡muestra la página wp-login!
Pero cuando la URL es wp-admin, entonces al hacer clic en cancelar se muestra “401 Authorization Required
Invalid login credentials!”
Y los archivos de registro mostraron que los intentos inválidos de inicio de sesión intentaban acceder directamente a wp-login.php.
Personal editorial
Sí, wp-login.php todavía es accesible. Pero incluso si obtienen la contraseña correcta, no podrán verla. También puedes usar la misma técnica y proteger con contraseña tu archivo wp-login.php individualmente.
Administrador
Jeffro
¿Cuál sería exactamente ese código? No vi una forma fácil de proteger con contraseña archivos específicos en Cpanel.
Bart
Estimado autor,
Estoy convencido de que seguí todas tus directivas, y aun así recibo la notificación de “bucle infinito” de Firefox. Esto es lo que he hecho hasta ahora:
– Creé un archivo .htpasswds en /.htpasswds/public_html/wp-admin/passwd (CHMOD 664)
– Creé un archivo .htaccess con un hash generado / nombre de usuario y lo coloqué en /public_html/wp-admin
– Inserté la línea ErrorDocument 401 default antes de todo el código en mi archivo .htaccess principal en /public_html
¿Podrías guiarme para resolver este problema? Mis preguntas principales son:
– dices “crea un archivo llamado ‘.htpasswds’ “. ¿Es este realmente el nombre de archivo correcto? Quiero decir, ¿con la s al final incluida?
– ¿qué ruta exacta debo especificar en mi archivo .htaccess en mi carpeta /public_html/wp-admin? Actualmente dice “AuthUserFile /.htpasswds/public_html/wp-admin/passwd”. No estoy seguro de estar haciendo esta parte bien…
I’m looking forward to some clarification here…I have been wrestling with this a couple of hours now and I figure it shouldn’t be THAT hard?
Muchas gracias de antemano... si necesitas más información, estaré encantado de proporcionarla. Saludos cordiales,
Bart
Personal editorial
¿En qué tipo de hosting estás? ¿Tienes un host web cPanel? ¿Puedes intentar usar el método cPanel para generar el archivo htpswd?
Es realmente difícil saber qué está saliendo mal porque escribimos exactamente lo mismo que hicimos en nuestro sitio.
Administrador
zimbrul
Me gustaría hacerles una pregunta: ¿alguna vez les ha pasado que la carpeta de administrador esté protegida con contraseña y se les pida autenticación por CADA publicación que leen en su blog? Me pasa con uno de mis blogs. Me preguntaba si no sería mejor proteger el inicio de sesión del administrador con Google Authenticator o algo similar...
Personal editorial
Si se te pide que te autentiques cada vez, entonces está sucediendo una de dos cosas:
1. Pegaste la información de .htaccess en tu archivo .htaccess principal y no en el archivo .htaccess en la carpeta /wp-admin/.
2. El archivo admin-ajax.php se está cargando en el front-end. Necesitas agregar la regla para evitar que se proteja con contraseña. Hemos mencionado la solución para eso.
Por último, sí, tenemos 3 capas de protección para nuestro administrador. Coincidencia de IP (si no coincide, entonces la contraseña .htaccess), y luego está Google Authenticator. También tenemos activados los intentos de inicio de sesión limitados.
Sucuri también hace un buen trabajo bloqueando otros ataques.
Administrador
Anish K.S
Intenté este método, pero me sale un error "Error 310 (net::ERR_TOO_MANY_REDIRECTS): Hubo demasiadas redirecciones."
¿Cómo se soluciona esto???
Personal editorial
El artículo tiene una sección sobre eso. ¿Eso no solucionó el problema?
Administrador
Anish K.S
Sí, lo arreglé. Gracias por el tutorial.
Mathieu Slaedts
Hola.
Intento implementar esta protección. Probé las dos soluciones (manual y desde el panel de administración de mi host). En ambos casos, el .htacess está en la carpeta wp-admin, pero el pop-up aparece en todas las páginas.
¿Alguna idea de dónde viene eso?
Gracias
Personal editorial
Ese es un comportamiento poco probable. Sin ver la situación específica, no podemos decirte por qué está haciendo eso. Sabemos que siguiendo este tutorial tal como está escrito, deberías poder hacerlo funcionar. Lo tenemos funcionando en WPBeginner.
Administrador
Ollie
Tuve el mismo problema con el pop-up apareciendo en casi todas las páginas de mi sitio web de WordPress.
Resulta que en las páginas donde aparecía, se estaba cargando un recurso de wp-admin, en este caso algo de un plugin, y eso parece haber activado el pop-up. Desde entonces he deshabilitado el plugin y el pop-up de contraseña ya no aparece en esas páginas.
Entonces, abriría el código fuente y buscaría wp-admin para ver qué está causando que aparezca el pop-up.
Personal editorial
El archivo más común que se carga es admin-ajax.php, y ya cubrimos eso. Si un plugin está cargando otro archivo, entonces sí, tienes que tenerlo en cuenta.
aditya
Seguí tus indicaciones.
Protegí mi directorio wp-admin y está funcionando para iniciar sesión, pero la misma ventana emergente sigue apareciendo al navegar por el sitio ????
Personal editorial
Esto significa que tienes el código en el archivo .htaccess incorrecto. Necesitas crear un archivo .htaccess completamente nuevo en tu carpeta /wp-admin/. Parece que pegaste el código en tu archivo .htaccess principal.
Administrador
20Music
Hola,
Seguí la sugerencia que encontré en su sitio. Creé una contraseña desde cpanel en la carpeta wp-admin y funcionó bien para la página de inicio de sesión de administrador, pero en cada enlace que hago clic en el sitio web, aparece una ventana emergente pidiendo identificación. Todo está bien cuando hago clic en cancelar.
¿Sabe cuál es el problema?
También usé ErrorDocument 401 default en el .htaccees principal.
Gracias
Personal editorial
¿Puede verificar que la protección con contraseña esté en un archivo .htaccess separado en su carpeta wp-admin?
Administrador
Brad LeBlanc
Lo intenté y no me apareció ninguna ventana, solo un error 404 (demasiadas redirecciones http).
Y me bloquearon todo hasta que deshabilité la contraseña. ¿Qué pasa?
Personal editorial
¿Hizo el truco del .htaccess que mencionamos en el artículo que soluciona el error 404?
Andrew
¡Gracias por la excelente ayuda en wpbeginner!
Ariel
I edited my .htaccess root file (to put the errordocument rule), and the pop-up worked well, but all my post links gives me a 404 error. I think that is a rewrite rule problem
Thanks
Personal editorial
Ve a tu Configuración > Enlaces permanentes. Simplemente haz clic en guardar y esperemos que eso resuelva el problema.
Administrador
vic
¡la actualización de enlaces permanentes funcionó! gracias, me salvaste de muchos dolores de cabeza..!
Tomy
Información muy útil, gracias. Aparentemente tuve una brecha. Se agregaron 3 archivos a mi instalación de WordPress. 1 en wp-admin, 1 en wp-admin/images y 1 en wp-includes.
Todos eran archivos php. Uno de ellos tenía basura codificada en base 64.
Configuraré el htaccess en wp-admin, y el plugin de intentos de inicio de sesión limitados parece proporcionar buena información.
Oh, pude notar los archivos que se agregaron a mi instalación porque el plugin de monitoreo de archivos de WordPress me alertó.
Mao Shan
Hola,
Seguí la sugerencia encontrada en internet sobre cómo asegurar la carpeta wp-admin. Creé un .htacess para proteger la carpeta con contraseña. Sin embargo, después de implementarlo, en cada enlace que hago clic en el sitio web, aparecerá una ventana emergente pidiendo identificación. Todo está bien cuando hago clic en cancelar. ¿Sabes cuál es el problema? Quiero asegurar mi carpeta wp-admin pero no quiero la ventana emergente en todas las páginas/enlaces. Actualmente solo uso el tema Mayashop y el plugin woocommerce.
Gracias
A continuación, mi muestra de .htacess
Order allow,deny
Allow from all
Satisfy any
Order allow,deny
Allow from all
Satisfy any
Order allow,deny
Allow from all
Satisfy any
AuthType Basic
AuthName “Solo administradores”
AuthUserFile “(miurl)/.htpasswds/public_html/wp-admin/passwd”
require valid-user
Personal editorial
Si tu archivo .htaccess está en tu /wp-admin/, entonces esto no debería suceder. A menos que estés cargando activos de administración de WordPress en tu front-end.
Administrador
Mao Shan
Bueno, el archivo .htaccess está en la carpeta wp-admin. Cambié el tema a twentyeleven y todo funciona bien. Solo en el otro tema, la autorización requerida aparece en todas las páginas/enlaces.
Agregué la siguiente línea y todo parece estar bien, pero cuando voy a url/wp-admin, muestra Error 310 (net::ERR_TOO_MANY_REDIRECTS): Hubo demasiados redireccionamientos. ¿Cuál es la razón?
Archivos ~ "\.(php)$"
Orden permitir,denegar
Permitir desde todos
Satisfacer cualquiera
Archivos
Personal editorial
¿Leíste la parte del artículo que habla específicamente de ese error?
Mao Shan
Hola, logré resolverlo después de una instalación limpia de WordPress. El problema es que ahora no puedo crear un formulario de contacto, ya que me dirige al error 404 y cuando activo el plugin xcloner, también me redirige al error 404.
¿Alguna ayuda?
Sudeep Acharya
Tengo wp-admin protegido con contraseña. Pero a pesar de esto, alguien puede hacer fuerza bruta en mi blog. ¿Cuál podría ser la razón de esto?
Personal editorial
¿Cómo sabes que intentaron acceder por fuerza bruta e iniciaron sesión en tu wp-admin? Esto suena muy sospechoso. A menudo, cuando esto sucede, el usuario tiene una puerta trasera instalada.
Administrador
Sudeep Acharya
Tuve demasiados bucles de redirección y solo agregué este código
ErrorDocument 401 default
en .httaccess solucionó el problema.
Ahsan
Dime dónde pongo esta línea... por favor
ahmedsheeraz
ErrorDocument 401 default saved my life
John RIker
Uso Cpanel y seguí las instrucciones de configuración y lo hice, también el usuario y la contraseña.
Sin embargo, lo que descubrí después de horas de frustración es que el .htaccess principal debe tener esto agregado: ErrorDocument 401 default
Si agregas eso solo al archivo .htaccess principal, todo funciona. En la parte superior, antes de que comience WordPress, tu mundo será mucho más relajado. Eso es después de que configures la protección de directorio en cpanel.
Gracias, usé tu página con algunos ajustes y funciona muy bien.
damian
Me estoy desanimando mucho. ¡Mi sitio fue hackeado a solo 2 días de estar en línea! La cantidad de pasos necesarios para proteger el sitio es abrumadora, y aun así pueden entrar...
Y cada "autoridad" parece tener una opinión, enfoque o plugins favoritos diferentes... me da vueltas la cabeza... ¿podrías darme una lista básica numerada de los pasos a seguir para evitar que me hackeen... incluyendo cpanel, el backend de wp y cualquier otra cosa que creas útil... y con suerte pasos que no requieran una certificación A+... ¡gracias, amigo!
Personal editorial
Lamentamos mucho la experiencia que ha tenido hasta ahora. Hablando a partir de este momento, no hay problemas de seguridad conocidos en el núcleo de WordPress. Así que si está utilizando la versión más actualizada de WordPress, entonces eso es bueno. A menudo, los problemas de seguridad se deben a plugins y temas mal codificados. Antes de poder asegurar su sitio, tiene que limpiarlo. A veces, cambiar sus contraseñas y agregar todas estas medidas no son suficientes. Porque los hackers pueden dejar archivos de acceso de puerta trasera que les dan acceso de shell a su servidor. Recomendamos encarecidamente que comience a usar Sucuri y tenga copias de seguridad regulares.
https://014.leahstevensyj.workers.dev/opinion/reasons-why-we-use-sucuri-to-improve-wordpress-security/
Asegúrese de mantener sus plugins y archivos principales actualizados en todo momento. No use plugins/temas de fuentes no confiables. WordPress se ha convertido en el Windows de nuestro tiempo. Debido a que hay tantos sitios que lo usan, los hackers tienen la motivación para encontrar las vulnerabilidades en plugins, temas, etc.
Trabajaremos en la creación de un tutorial completo sobre seguridad.
Administrador
bob
Protegí con contraseña mi wp-admin en mis sitios, pero aún así recibía avisos de bloqueo del plugin de inicio de sesión "limit login". ¿Cómo pudo ser eso?
Luego noté que si escribo /wp-login.php? en su lugar y luego cancelo, puedo acceder a la página de inicio de sesión. Uggggh. Me hace preguntarme qué otras soluciones alternativas existen que no conozco.
Personal editorial
Debería considerar agregar este truco también.
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
Administrador
Peter
LA SOLUCIÓN DE HOSTGATOR
Parece que un plugin de seguridad había agregado una reescritura al archivo .htaccess dentro de wp-admin/ para tu cuenta. Esto estaba haciendo que el sitio se redirigiera a sí mismo, causando un bucle de redirección.
He corregido el problema con el archivo .htaccess y su página de inicio de sesión de wp-admin se está cargando correctamente en este momento.
Si tiene alguna otra pregunta o inquietud, por favor háganoslo saber.
Atentamente,
Preston M.
Administrador de Sistemas Linux
HostGator.com LLC
Peter
Tuvo un técnico de HostGator trabajando media hora en el problema del error 404. No pudo resolverlo.
Incluso eliminó todas las reglas de reescritura en el .htaccess de public_html
Peter
Todavía tengo el error “Demasiadas redirecciones”
La página no se está redirigiendo correctamente
Firefox ha detectado que el servidor está redirigiendo la solicitud para esta dirección de una manera que nunca se completará.
Este problema a veces puede ser causado por deshabilitar o negarse a aceptar
cookies.
PERO agregué:
“Redirigir 301 /tag/tax/ http://snbchf.com/tag/taxes/
Redirigir 301 /tag/interest-rate/ http://snbchf.com/tag/academical/
Redirigir 301 /tag/chf-flows-floor-ubs/ http://snbchf.com
Redirigir 301 /tag/boom/ http://snbchf.com
RewriteEngine on
ErrorDocument 401 default”
a mi .htaccess en el directorio public_html.
(también intenté poner “ErrorDocument 401 default” al principio)
Ankur
Es una excelente manera de proteger el directorio wp-admin. Lo estuve usando durante mucho tiempo, pero cuando instalé commentluv, tuve que desinstalarlo ya que no podía funcionar correctamente.
¿Sabes alguna solución alternativa?
Personal editorial
Just updated the article. Try that
Administrador
Ankur
Thanks, commentluv now works fine
mindctrl
Para tu información, he visto que esto rompe plugins que usan ajax en el frontend llamando a wp-admin/admin-ajax.php.
Personal editorial
Sí, eso es cierto. No estábamos usando ningún plugin que hiciera esa llamada. Sin embargo, puedes agregar una excepción para ese archivo en el .htaccess.
Administrador
Martin
No estoy seguro de lo que hace cpanel, pero agregar un simple htpasswd te dará el mismo resultado.
Personal editorial
Bueno, puedes agregar un htpasswd. Pero también tendrías que crear una regla .htaccess en el directorio wp-admin para especificar que estás bloqueando el directorio. Luego, especifica el usuario o grupo de usuarios que está permitido, etc. Esto básicamente nos ayuda a simplificar el proceso.
Administrador
zimbrul
El tutorial anterior, de hecho, está agregando seguridad con .htpassword y .htaccess a través de una interfaz fácil de usar en cPanel. Después de haber hecho lo anterior, notarás que se ha generado un archivo .httpassword fuera de la raíz de tu servidor (por razones de seguridad) y dentro del archivo encontrarás la información que ingresaste según este tutorial.
Howard
En cada sitio de WP que tengo, en mi primer inicio de sesión después de la configuración, creo otra cuenta de administrador con un nombre para el cual uso una fórmula para construir, y una contraseña muy fuerte generada por computadora. Luego cierro sesión y luego inicio sesión en la cuenta de administrador alternativa, y reduzco el nombre de usuario administrador estándar a "sin rol para este sitio" y establezco una contraseña generada por computadora que tenga al menos 35 caracteres de longitud. No me molesto en guardar esa contraseña en ningún lado. Ahora es solo una trampa.
Luego instalo el plugin "limit login attempts". Cada vez que se activa, agrego la dirección IP infractora a mi lista de denegación en .htaccess para asegurarme de que esa IP no pueda acceder a mi sitio.
Atrapo de 3 a 4 intentos de acceder a la administración cada semana.
Personal editorial
Sí, nosotros también tuvimos eso. Llega un punto en que los ataques provienen de IPs que rebotan. Bloquear un rango enorme de IPs no es una opción suficiente. También teníamos el inicio de sesión restringido por IP, pero eso tampoco pareció funcionar.
Administrador
Howard
El plugin "limit login attempts" (limitar intentos de inicio de sesión) es bastante bueno. Lo tengo configurado para que se bloquee por 100 horas después de 4 intentos fallidos, con el cuarto bloqueo establecido para 4000 horas. Así, incluso si el delincuente puede cambiar dinámicamente de IP, tiene que hacerlo cada cuatro intentos. Y con una contraseña aleatoria realmente larga, eso debería llevar un par de siglos, y más direcciones IP de las que probablemente pueda acceder.
En el caso, muy poco probable, de que descifren mi "admin", de todos modos no les servirá de nada. Cada vez que me doy cuenta de que el desgraciado ha descubierto cuál es mi nombre de administrador real (solo ha sucedido una vez hasta ahora), inmediatamente creo uno nuevo y configuro el antiguo como "sin rol para este sitio" con una contraseña aleatoria muy larga. Hay algunos otros detalles (por ejemplo, primero, tengo que cambiar la dirección de correo electrónico antes de que me permita crear la nueva cuenta de administrador con mi correo electrónico), pero eso prácticamente resolvió el problema en ese caso.
Realmente no sé si esto es a prueba de balas, pero espero que los desgraciados decidan que es demasiado trabajo y vayan a molestar a un sitio más débil.
zimbrul
"Cada vez que me doy cuenta de que el desgraciado ha descubierto cuál es mi nombre de administrador real..." ¿puedo preguntarte cómo te diste cuenta?
Howard
@zimbrul Claro.
El plugin "limit login attempts" me dice qué nombre de usuario está bajo ataque. Por lo general, es "admin", pero hubo una ocasión en la que vi el nombre de mi cuenta de administrador real. Así que creé una nueva cuenta de administrador y dejé la antigua allí, pero despojada de cualquier acceso y con una contraseña ridículamente larga.
No estoy seguro de cómo el perpetrador encontró la cuenta de administrador, ya que le asigné un “apodo” no relacionado que aparece en las publicaciones. Supongo que hay algún archivo en el servidor que un hacker puede leer al menos parcialmente, y probablemente necesite investigar eso.
Personal editorial
Es bastante fácil encontrar el nombre de usuario. Todo lo que la persona tiene que hacer es mirar la URL de tu autor para saber tu nombre de usuario. Por ejemplo, esto:
https://014.leahstevensyj.workers.dev/author/wpbeginner/
El nombre de usuario sería “wpbeginner”. Para la mayoría de los sitios ese es el caso, a menos que, por supuesto, hayan cambiado el nombre de usuario como se muestra en esta técnica:
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-change-your-wordpress-username/
Si lo haces así, entonces tu nombre de usuario cambiará, pero tu URL de autor no.
zimbrul
Howard, ese es un punto interesante; intentaré implementarlo.
Además, tuve problemas con errores 404 o demasiadas redirecciones y no sabía la solución, ¡gracias por eso!
Por alguna razón, bloquear la dirección IP en .htaccess en la carpeta wp-admin no está funcionando para mi sitio zimbrul.co.uk. ¡Intenté acceder a mi sitio desde mi teléfono móvil en 3G y pude acceder a pesar de que la única IP permitida era la IP de casa.
Personal editorial
Sí, por eso ayuda tener doble autenticación como esta.
Administrador