Cómo Cambiar el Login de WordPress

Cambiar el Login de WordPress

Cambiar el Login de WordPress

Los ataques de fuerza bruta consiste en el esfuerzo de hackers haciendo uso de bots de descifrar el nombre de usuario y la contraseña del sitio.

El problema reside cuando alguien usa la palabra Admin como nombre de usuario por lo que ya se le facilitó al hacker un 50% del trabajo por lo que ahora deben de enfocarse en la contraseña.

Hacker y los Nombres de Usuario

Si tu usuario no es admin, los hackers pueden tratar de averiguar otros posibles nombres de usuarios escribiendo lo siguiente en la barra de direcciones del navegador:

tudominio.com/?author=1

La otra forma es escribiendo lo siguiente en la barra de direcciones del navegador:

tudominio.com/wp-json/wp/v2/users/1

5 Maneras de Proteger el Login de WordPress

Si bien, pueda ser que tengas una contraseña robusta, estos intentos son molestos y tienen un impacto en los recursos de tu servidor.

Estas son algunas medidas de seguridad para proteger o cambiar el login de wordpress.

#1 All in One WP Security and Firewall

Una de las maneras de proteger el login de wordpress en contra de los hackers es usando All in One WP Security and Firewall.

Puedes usar este plugins de cinco formas:

  • La primera de estas formas consiste en cambiar el login de wordpress a cualquier otra dirección que quieras y puedes cambiar esta dirección cada vez que los bots la encuentren.
  • La segunda opción consiste en poner un captcha de manera que toda personas que quiera vulnerar el login de wordpress deba ingresar un desafío, que los ataques hechos por medio de bots fallaran.
  • El tercer método es activando un señuelo que solamente los bots podrán ver e intentarán llenar resultado en un bloqueo personal y permanente.
  • La Cuarta opción consiste en bloquear toda dirección IP que intente vulnerar el sitio usando un nombre de usuario que no existe
  • La quinta opción es bloquear a todos los usuarios que hagan más de 3 intentos de vulnerar tu sitio.

Este plugin tiene otra opciones de seguridad que puedes implementar con tan solo unos cuantos clics.

Este plugin guarda los numero de intentos realizados para vulnerar tu sitio.

#2 WPS Hide Login

Si deseas un plugin que puede esconder tu dirección de login de wordpress, WPS login es un plugin que realiza eso y que es sumamente sencillo.

Los bots eventualmente encontrarán la nueva dirección por lo que puedes cambiar esa dirección con cierta regularidad.

Si quieres complementar los esfuerzos de este plugin, puedes usar WPS Limit Login

#3 Jetpack

Jetpack es un plugin que tiene muchas funcionalidades y una de ellas es prevenir los ataques de fuerza bruta.

Tambien puedes remover el formulario de login y sustituirlo por el formulario de wordpress.com que tiene autenticación de dos pasos.

Puedes aceptar los ingreso exitosos por medio de tu aplicación de wordpress o por medio de un código que es enviado a tu numero de telefono.

Puedes insertar estos códigos en el editor de temas que encuentras en la barra lateral en la pestaña de apariencia.

El codigo debe ser insertado en la última línea del functions.php

El primero código remueve por completo el login por default

add_filter( 'jetpack_remove_login_form', '__return_true' );

El segundo código lo que permite es el direccionamiento forzado a wordpress.com para realizar el inicio.

add_filter( 'jetpack_sso_bypass_login_forward_wpcom', '__return_true' );

Debes activar esta funcionalidad en la pestaña de seguridad de Jetpack

#4 Usar un Buen Antivirus

Usar Jetpack previene que los hackers tengan acceso a tu sitio debido a que el hecho de tener el usuario y la contraseña no será suficientes por la autenticación de dos factores.

El problema con los otros métodos es que un hacker podría instalar un Keylogger en tu computadora de trabajo por lo que no importa cuantas veces cambies la dirección de acceso, el usuario y la contraseña, este las tendrá porque este tiene acceso a todo lo que digitas.

Por lo que no descargues archivos de procedencia desconocida, que llegan a tu correo, software pirata e instala un buen antivirus.

#5 Protege el Usuario de WordPress

Esta es una forma de evitar que los hackers tratan de husmear tu sitio en busca de posibles nombre de usuario.

Agrega este código en el .htaccess

RewriteEngine On
RewriteCond %{REQUEST_URI} !^/wp-admin [NC]
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

Con esta linea de código podrás bloquear a todos los visitantes que traten de ver tu nombre de usuario con la siguiente dirección:

tudominio.com/?author=1