Los propietarios de sitios web deben priorizar la seguridad de WordPress para proteger sus datos sensibles y mantener la confianza de sus usuarios. Una forma muy eficaz de hacerlo en WPBeginner es protegiendo con contraseña nuestro directorio de administración de WordPress.
El directorio wp-admin es el centro de control de tu sitio de WordPress. Es donde administras todo, desde el contenido hasta la configuración, lo que lo convierte en un objetivo principal para los hackers. Proteger con contraseña tus archivos de administración los mantendrá a salvo de ataques.
Este artículo proporciona una guía sencilla para proteger fácilmente con contraseña tu directorio wp-admin y fortalecer la seguridad de tu sitio web.
¿Por qué proteger con contraseña tu directorio de administración de WordPress?
Al proteger con contraseña tu directorio de administración de WordPress, agregas una capa adicional de seguridad al punto de entrada más importante de tu sitio web de WordPress.
Tu panel de administración de WordPress es el centro neurálgico de tu sitio. Es donde publicarás entradas y páginas, personalizarás tu tema, instalarás plugins de WordPress y más.
A menudo, cuando los hackers intentan acceder a tu sitio web, lo harán a través de la pantalla wp-admin utilizando un ataque de fuerza bruta.
Puedes ayudar a proteger tu sitio web contra posibles ataques utilizando medidas de seguridad como una contraseña segura y limitando los intentos de inicio de sesión.
Para estar aún más seguro, también puedes proteger con contraseña el directorio wp-admin. Luego, cuando alguien intente acceder a tu área de administración, necesitará ingresar un nombre de usuario y una contraseña antes de llegar a la página de inicio de sesión de WordPress.
Dicho esto, veamos cómo puedes proteger con contraseña tu directorio de administración de WordPress paso a paso.
El primer método se recomienda para la mayoría de los usuarios, y puedes usar los enlaces rápidos a continuación para saltar directamente al método que deseas usar:
- Protege con contraseña wp-admin usando Privacidad de Directorio (Recomendado)
- Protege con contraseña wp-admin usando Código
- Solución de problemas de protección con contraseña de wp-admin
- Extra: Las mejores guías de WordPress para la seguridad de wp-admin
Tutorial en video
Si prefieres instrucciones escritas, sigue leyendo.
Método 1: Protege con contraseña wp-admin usando Privacidad de Directorio (Recomendado)
La forma más fácil de proteger con contraseña tu directorio de administración de WordPress es utilizando la aplicación de Privacidad de Directorio de tu proveedor de hosting de WordPress.
Primero, necesitas iniciar sesión en el panel de control de tu cuenta de hosting y hacer clic en la opción ‘Privacidad del directorio’ en la sección Archivos de tu panel de control cPanel de tu sitio web.
Nota: La mayoría de los proveedores de hosting que usan cPanel, como Bluehost, tendrán pasos similares. Sin embargo, tu panel de control podría ser ligeramente diferente a nuestras capturas de pantalla, dependiendo de tu proveedor de hosting.
Esto te lleva a una pantalla que enumera todos los directorios diferentes en tu servidor. Necesitas encontrar la carpeta que contiene los archivos de tu sitio web.
Para la mayoría de los propietarios de sitios web, esto se puede encontrar haciendo clic en la carpeta ‘public_html’.
Esto muestra todos los archivos del sitio web que has instalado en tu servidor.
A continuación, deberás hacer clic en la carpeta con el nombre de dominio de tu sitio web.
En esa carpeta, verás una carpeta wp-admin.
En lugar de hacer clic en el nombre de la carpeta, deberás hacer clic en el botón ‘Editar’ junto a esa carpeta.
Esto te lleva a una pantalla donde puedes activar la protección con contraseña.
Simplemente marca la casilla que dice ‘Proteger este directorio con contraseña’. Si lo deseas, también puedes darle un nombre a tu directorio como ‘Área de Administración’ para ayudarte a recordarlo.
Una vez que hayas hecho eso, deberás hacer clic en el botón ‘Guardar’.
Esto te llevará a una página donde aparecerá el mensaje de confirmación.
Ahora, deberás hacer clic en el botón ‘Regresar’, y te llevará a una pantalla donde podrás crear un usuario que podrá acceder a este directorio.
Se te pedirá que ingreses un nombre de usuario y una contraseña, y luego confirmes la contraseña. Asegúrate de anotar tu nombre de usuario y contraseña en un lugar seguro, como una aplicación de administrador de contraseñas.
Asegúrate de hacer clic en el botón ‘Guardar’ cuando hayas terminado.
Ahora, cuando alguien intente acceder a tu directorio wp-admin, se le pedirá que ingrese el nombre de usuario y la contraseña que creaste anteriormente.
Método 2: Proteger wp-admin con contraseña usando código
También puedes proteger manualmente tu directorio de administración de WordPress con contraseña. Para hacer esto, necesitarás crear dos archivos llamados .htpasswd y .htaccess.
Nota: Agregar cualquier código a tu sitio de WordPress puede ser peligroso. Incluso un pequeño error puede causar grandes problemas en tu sitio web. Solo recomendamos este método para usuarios avanzados.
Creación del archivo .htaccess
Primero, abre tu editor de texto preferido y nombra el nuevo archivo .htaccess.
Después de eso, necesitas copiar el siguiente fragmento de código y agregarlo al archivo:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Asegúrate de cambiar la ruta de ‘AuthUserFile’ a la ubicación donde subirás el archivo .htpasswd y cambia ‘yourusername’ por el nombre de usuario que deseas usar para iniciar sesión.
No olvides guardar el archivo cuando hayas terminado.
Creando el archivo .htpasswd
Una vez que hayas hecho eso, necesitas crear un archivo .htpasswd.
Para hacer esto, abre un editor de texto y crea un archivo llamado .htpasswd. Este archivo listará tu nombre de usuario junto con tu contraseña en formato cifrado.
La forma más fácil de generar la contraseña cifrada es con un generador de htpasswd.
Simplemente ingresa tu nombre de usuario y contraseña, selecciona el formato de cifrado y haz clic en el botón ‘Crear archivo .htpasswd’.
El generador de htpasswd mostrará una línea de texto que necesitas pegar en tu archivo .htpasswd. Asegúrate de guardar el archivo una vez que hayas hecho eso.
Subiendo .htaccess y .htpasswd al Directorio wp-admin
El último paso es subir ambos archivos que creaste a la carpeta wp-admin de tu sitio web.
Necesitarás conectarte a tu cuenta de hosting de WordPress usando un cliente FTP o la herramienta de administrador de archivos en línea proporcionada por tu proveedor de hosting. Para más detalles, consulta nuestra guía para principiantes sobre cómo usar FTP para subir archivos a WordPress.
Para este tutorial, usaremos FileZilla porque es gratuito y funciona tanto en Mac como en Windows.
Una vez que te hayas conectado a tu sitio web, verás los archivos en tu computadora en la ventana izquierda y los archivos de tu sitio web en la derecha. En la izquierda, deberás navegar a la ubicación donde guardaste los archivos .htaccess y .htpasswd.
Luego, en la derecha, deberás ir al directorio wp-admin del sitio web que deseas proteger. La mayoría de los usuarios deberán hacer doble clic en la carpeta public_html, luego en la carpeta con el nombre de su dominio, y después en la carpeta wp-admin.
Ahora, puedes seleccionar los dos archivos de la izquierda y hacer clic en ‘Subir’ en el menú contextual o simplemente arrastrar los archivos a la ventana izquierda.
Ahora, tu directorio ‘wp-admin’ estará protegido con contraseña.
Solución de problemas de protección con contraseña de wp-admin
Dependiendo de cómo estén configurados tu servidor y tu sitio web, existe la posibilidad de que te encuentres con errores de WordPress. Estos errores se pueden solucionar agregando cuidadosamente código a tu archivo .htaccess.
Nota: Este es el archivo .htaccess ubicado en la carpeta principal de tu sitio web, no el que subiste a la carpeta ‘wp-admin’. Si tienes problemas para encontrarlo, consulta nuestra guía sobre por qué no puedes encontrar .htaccess y cómo localizarlo.
Solución al error de Ajax que no funciona
Uno de los errores más comunes es que la funcionalidad Ajax puede dejar de funcionar en el front-end de tu sitio. Si tienes plugins de WordPress que requieren Ajax, como búsqueda Ajax en vivo o formularios de contacto Ajax, notarás que estos plugins ya no funcionarán.
Para solucionar esto, simplemente agrega el siguiente código al archivo .htaccess que se encuentra en tu carpeta wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Solución al error 404 y al error de demasiadas redirecciones
Otros dos errores con los que podrías encontrarte son el error 404 y el error de demasiadas redirecciones.
La forma más sencilla de solucionarlos es abrir tu archivo .htaccess principal ubicado en el directorio de tu sitio web y agregar la siguiente línea de código antes de las reglas de WordPress:
ErrorDocument 401 default
Extra: Las mejores guías de WordPress para la seguridad de wp-admin
Esperamos que este artículo te haya ayudado a aprender cómo proteger con contraseña tu directorio de administrador de WordPress (wp-admin). Quizás quieras ver algunas guías adicionales sobre cómo hacer más seguro tu área de administración:
- Cómo restringir el acceso de administrador de WordPress por dirección IP
- Consejos Vitales para Proteger tu Área de Administración de WordPress (Actualizado)
- Cómo agregar una URL de inicio de sesión personalizada en WordPress (paso a paso)
- Cómo y por qué deberías limitar los intentos de inicio de sesión en WordPress
- Cómo agregar autenticación de dos factores en WordPress (método gratuito)
- Cómo agregar preguntas de seguridad a la pantalla de inicio de sesión de WordPress
- Cómo forzar a los usuarios a cambiar contraseñas en WordPress – Expire Password
- Cómo restablecer contraseñas para todos los usuarios en WordPress
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
tom
Quizás sea una pregunta tonta, pero me pregunto ahora – tengo la configuración anterior aplicada a mi sitio web y funciona bien, pero supongamos que un bot intenta forzar la entrada a esa área de inicio de sesión adicional y lo intenté manualmente durante un tiempo y mi servidor no bloqueó mi IP ni nada. Entonces, técnicamente, ese ataque de fuerza bruta en esa área podría durar 'para siempre' y esto, a su vez, podría ralentizar mi sitio web de alguna manera, ¿o no? Si es así, es una pena porque me tomó un par de horas configurarlo y estaba encantado con esa capa adicional de protección...
Soporte de WPBeginner
Si bien es posible, se necesitan muchos menos recursos para cargar el inicio de sesión de su área de wp-admin que su página de inicio de sesión de WordPress, lo que significa que se necesitaría mucho más de un ataque de fuerza bruta para afectar la velocidad de su sitio.
Administrador
Dayo Olobayo
No soy muy técnico, pero me alegra que hayas incluido la opción de usar la aplicación Directory Privacy. Eso suena mucho más fácil que crear esos archivos .htaccess. Gracias.
Mrteesurez
Gracias. Me pareció útil.
Quiero preguntar si todos los métodos ofrecen el mismo nivel de seguridad, preferiría y recomendaría apegarme al primer método ya que parece fácil y directo.
¿O hay alguno que sea mejor que el otro??
Soporte de WPBeginner
Estos son diferentes métodos para lograr el mismo resultado, por lo que dependería de su preferencia cuál usaría.
Administrador
Mark
¿Hay alguna forma de que los hackers accedan a esta contraseña e incluso la cambien, como en phpMyAdmin?
Soporte de WPBeginner
Necesitarían acceso a su proveedor de hosting o a los archivos del sitio para esta guía.
Administrador
Salman
He cambiado mi URL de inicio de sesión usando el plugin "WPS Hide Login". Digamos que la URL anterior terminaba en wp-admin/ y la nueva URL termina en hidden/, ¿cómo puedo proteger con contraseña esta nueva URL?
Soporte de WPBeginner
It would depend on what method you are using and how you changed the URL, as long as there is a file/folder in the new location you should be able to select that folder or change the path on line 2 of the htaccess method
Administrador
Jiří Vaněk
WPShide no crea una nueva carpeta, yo también la uso. La carpeta wp-admin todavía está en el servidor y es funcional. Así que si usas WPSHide, protege la carpeta wp-admin exactamente igual.
Jiří Vaněk
Una buena práctica también es cambiar el nombre de la URL de administración de WordPress y elegir un nombre de usuario administrador diferente a 'admin'. Cambiar la URL dificulta que los atacantes localicen la administración, y no usar 'admin' como administrador reduce el riesgo de un ataque de fuerza bruta exitoso.
Soporte de WPBeginner
Tener un nombre de usuario diferente a admin es definitivamente recomendado, pero para cambiar la URL de wp-admin no siempre se recomienda, ya que puede causar problemas con algunos plugins y dificultar la solución de problemas.
Administrador
Jose
La corrección de Ajax funcionó bien. Muchas gracias por esto.
Soporte de WPBeginner
Glad our article could help
Administrador
Umer Yaseen
¿Qué pasa si alguien accede a nuestro directorio de administración de WordPress al escribir miwebsite.com/wp-login.php en lugar de miwebsite.com/wp-admin? Este método solo protege wp-admin y no protege wp-login.php. Entonces, ¿cómo es útil?
Soporte de WPBeginner
Esto mostraría la misma solicitud para los usuarios que intentan iniciar sesión usando wp-login.php
Administrador
nadia
Eres el mejor. Gracias mil veces como siempre.
Soporte de WPBeginner
Glad you’ve found our content helpful
Administrador
Lordemmaculate
Quiero hacer esto, pero mi servidor es Nginx, no Apache, así que no puedo usar .htaccess
Soporte de WPBeginner
We’ll see if we can add a method for that type of server when we update this article
Administrador
Rajah
El primer método a través de cPanel funcionó a la perfección. Sin embargo, cuando cierro sesión de WP y vuelvo a iniciar sesión, no vuelve a pedir la contraseña del directorio. ¿Se supone que solo la pide una vez?
Soporte de WPBeginner
Tus cookies/caché recordarán la información de inicio de sesión. Normalmente, la próxima vez que enciendas tu computadora, te pedirá que inicies sesión de nuevo.
Administrador
Webo
Muy bien, gracias...
Soporte de WPBeginner
You’re welcome
Administrador
Izzy
"Password Protect Directories" no está en mi cPanel bajo "seguridad", así que probé la forma manual, pero no parece funcionar, ya que no pide iniciar sesión cuando abro wp-admin...
Soporte de WPBeginner
Si te pones en contacto con tu proveedor de hosting, deberían poder ayudarte y revisar si hay alguna razón por la que no esté funcionando.
Administrador
Ahsan Ali
¡Gracias por tus esfuerzos!
Usé el método de cpanel, funciona bien, ¡pero el problema es que la solicitud de contraseña aparece en cada página de mi sitio web!
¿Qué tengo que hacer para que aparezca solo en la página de wp-admin?
Soporte de WPBeginner
Parece que has protegido con contraseña tu carpeta public_html en lugar de la carpeta wp-admin. Deberías eliminar la protección actual e intentar configurarla de nuevo.
Administrador