Casi todo el mundo sabe cómo llegar a la barrera de acceso al área de administración de WordPress por defecto. Dado que más del 34 por ciento de todos los sitios web funcionan con WordPress, es fácil para los hackers encontrar y atacar las áreas de inicio de sesión de estos sitios web. Esta es precisamente la razón por la que este tipo de ataques, como los ataques de fuerza bruta, se encuentran entre los ataques más comunes a los sitios web de WordPress. Ocultar el área de administración de WP parece una medida de protección sencilla. Hoy te mostraré lo útil que es esta técnica y cómo puedes implementarla con plugins como WPS Hide Login.

Los ataques de fuerza bruta son probablemente el tipo de ataque más común contra los sitios web de WordPress. Sólo el proveedor de seguridad Wordfence midió casi 1.000 millones de ataques de este tipo en 2017 en algunos meses de este año, sin contar el número de casos no denunciados. Para reducir el riesgo de seguridad que suponen los ataques de fuerza bruta, en principio tiene sentido limitar los intentos de inicio de sesión tras demasiados intentos fallidos. Además, muchos webmasters de WordPress utilizan otro método: mueven el área de administración de WP para que ya no pueda encontrarse bajo el sufijo wp-admin.

Muchos plugins de seguridad también ofrecen la función correspondiente. Los que pueden, también se atreven con el archivo .htaccess. Pero ocultar el área de WP Admin por sí solo no es una medida de seguridad realmente buena aunque puede ser un complemento útil.

Ocultar WP Admin: ¿Qué sentido tiene?

Detrás de la idea de ocultar el área de administración de WP está el principio de la seguridad a través de la oscuridad: la idea de que la seguridad de un sistema es mayor mientras su funcionamiento permanezca en secreto. O dicho de otro modo: si el atacante no sabe dónde está la puerta principal de tu , podrá merodear por la casa de tu , pero no podrá entrar.

Security through obscurity: un tigre sin dientes en la práctica

Este planteamiento es objeto de polémicas entre los expertos, y no sin razón. En este caso, el hecho de que la información esté segura no significa que ya no se pueda acceder a ella en absoluto. Está ahí, pero oculta. Con las herramientas adecuadas, los hackers aún pueden encontrar la página de acceso si quieren.

Y aquí es donde entra en juego el verdadero problema de la security through obscurity: el enfoque se utiliza a menudo para ocultar problemas que, en cambio, deberían eliminarse por completo. Si tu nombre de administrador es admin y tu contraseña es password123!, el hacker estará en tu backend en un santiamén si ha encontrado tu página de inicio de sesión oculta.

En resumen, un área de administración oculta no impide que los atacantes ataquen, solo aumenta el tiempo empleado en llevar a cabo el ataque. Por desgracia, sin embargo, es imposible ocultar completamente el hecho de que tus proyectos son sitios web WordPress. Así que ocultar el WP Admin nunca debe ser tu única medida de seguridad. Quien te tenga como objetivo no podrá escapar.

El concepto de security through obscurity es, por tanto, idealmente una de las muchas capas de tu concepto de seguridad. Limitar los intentos de inicio de sesión (LLA), una contraseña segura que incluya autenticación de dos factores y, si al final utilizas uno, un plugin de seguridad limpiamente configurado son una mezcla sensata. Ocultar el área de administración es solo la guinda del pastel.

En algunos casos, ocultar el WP Admin sigue teniendo sentido

Ahora bien, hay algunas situaciones en las que puede tener mucho sentido ocultar el WP Admin:

• Ocultar el WP Admin influye mucho en la percepción de seguridad de un sitio web WordPress. Especialmente si trabajas en nombre de un cliente, un WP Admin oculto tiene sentido para maximizar la sensación de seguridad de tus clientes/as.
• Si los piratas informáticos lanzan un ataque de fuerza bruta contra tu sitio web, puede ocurrir que el servidor se "sobrecaliente" simplemente debido al elevado número de peticiones. Si mueves el área de administración, al menos quitas el viento de las velas de los ataques primitivos de fuerza bruta desde el principio.
• Puedes sorprender positivamente a algunos/as clientes/as ocultando el área de administración, por ejemplo moviéndola a /NombreDeTuEmpresa. De este modo, podrás crear un pequeño pero sutil efecto de branding.

Como puedes ver, estas medidas son más bien de carácter cosmético, pero incluso una mayor seguridad percibida puede ayudar a veces. Por eso, te mostraré a continuación cómo puedes asegurar tu WP Admin con y sin plugins.

Ocultar el Admin de WP con plugins

Los grandes plugins de seguridad también te permiten ocultar el área de administración y la naturaleza exacta de tu sitio web, entre otras muchas funciones. Como he dicho antes, tengo una opinión crítica al respecto: instalar un plugin voluminoso solo para cambiar una URL no resuelve de un plumazo todos los problemas. Solo tras un examen exhaustivo del tema podrás decidir qué medidas de seguridad tienen sentido para tu proyecto.

En cuanto a los plugins, sin embargo, tienes básicamente dos opciones:

• Plugins ligeros diseñados solo para ocultar el área de inicio de sesión
• Plugins que incluyen la ocultación del área de inicio de sesión, pero que pueden hacer mucho más

Los plugins de seguridad completos son más engorrosos debido a su funcionalidad ampliada. Por tanto, solo tienen sentido si sabes lo que quieres conseguir con ellos, por ejemplo, bloquear IP específicas, utilizar el cortafuegos de aplicaciones web (WAF) o beneficiarte de los informes de los plugins.

Instalar un plugin grande solo para ocultar el área de administración es una exageración. Tu velocidad de carga se resiente y el resultado final es que tienes poco valor añadido y no sustituye a ocuparse de las funciones de seguridad.

Por lo tanto, ocultar el área de administración con un plugin solo es aconsejable si puedes utilizarlo sin grandes pérdidas de rendimiento o funcionalidad, como un "nice to have", por así decirlo. No recomendaría instalar un gran plugin como iThemes Security o Wordfence especialmente con este fin.

En su lugar, aquí tienes dos alternativas más elegantes para ocultar tu área de administración:

WPS Hide Login

El plugin gratuito WPS Hide Login hace exactamente una cosa: cambia las dos URL /wp-admin y /wp-login.php por direcciones que tú especifiques. Esto añade un obstáculo para los piratas informáticos y hace que el sitio web tu sea un poco más seguro. Con más de un millón de instalaciones activas y una valoración media de 4,9 estrellas (¡con más de 2.000 opiniones!), el plugin ha demostrado su eficacia en la práctica.

WP Hide & Security Enhancer

Este plugin gratuito oculta el hecho de que tu sitio web funciona con WordPress. Queda por ver si esto tiene sentido en principio (con una herramienta como BuiltWith se puede sacar a la luz rápidamente), pero al mismo tiempo cambia las URLs /wp-admin y /wp-login.php por cualquier otra URL. Más de 80.000 webmasters utilizan actualmente el plugin, y la valoración media es de 4,3 estrellas.

No le temas al mal código: Asegúrate con el .htaccess

Si quieres ocultar el hecho de que tu sitio web tus es una instalación de WordPress, puedes hacerlo utilizando plugins como WPS Hide Login. O puedes trabajar directamente en el archivo .htaccess. Es uno de los archivos más importantes para las instalaciones de WordPress que se ejecutan en servidores Apache. El .htaccess define, por ejemplo, qué archivos y directorios del sitio web tus son visibles y quién tiene acceso a qué.

Con pequeños cambios en este archivo, puedes dar a tu web una capa extra de seguridad. Concretamente, añades fragmentos de código individuales que restringen el acceso a wp-config.php o bloquean determinadas IP. Te recomiendo que hagas siempre una copia de seguridad de este archivo antes de realizar cualquier cambio: si algo sale mal, podrás volver rápida y fácilmente al estado original. Con .htaccess, incluso un pequeño error en el código puede bastar para paralizar tu sitio web.

Variante 1: Permitir solo ciertas IPs

En principio, cualquier directorio puede protegerse con un .htaccess. En este caso, quieres proteger específicamente el área de administración. Por lo tanto, subes un nuevo .htaccess en el directorio WP Admin. Si, en cambio, especificas en el directorio principal WordPress que solo tienen acceso determinadas IP, excluirás a todos los demás de tu sitio web en lugar de solo del área de administración.

En el .htaccess del directorio admin, ahora tienes la opción de bloquear IPs específicas para que no puedan acceder a este directorio. Si tú mismo/a utilizas una IP estática, es aconsejable excluir todas las IP excepto la propia. De esta forma, solo tú tienes acceso al área de administración.

Puedes hacer lo mismo para excluir IPs del sitio web wp-login.php. De este modo, las IP no autorizadas pueden ser redirigidas a un sitio 404 (o a otro sitio de tu elección) y ya no podrán acceder a la pantalla de inicio de sesión. Esto puede hacerse insertando el código apropiado.

• El Codex de WordPress describe cómo puedes proteger directorios individuales de tu instalación WordPress
• Los compañeros de WP-Beginner muestran en detalle cómo proteger el WP Admin mediante el .htaccess
• El productor de plugins wpmudev muestra en una completa guía cómo puedes utilizar el .htaccess para proteger tus sitios web.

Variante 2: Configurar la protección con contraseña (o la autenticación de dos factores)

Otra opción muy utilizada para proteger el área de administración con el .htaccess es crear una autenticación HTTP adicional. Entonces, el servidor requiere los datos de acceso correspondientes incluso para llegar a la página de inicio de sesión de tu sitio WordPress.

Esto supone un poco más de esfuerzo para ti al iniciar sesión, pero muchos atacantes tiran la toalla en este punto. Los ataques de fuerza bruta se bloquean incluso antes de que hayan comenzado. Sin embargo, ni siquiera esta protección es completamente infalible, ya que muchos ataques se ejecutan a través de la interfaz XMLrpc. Los hackers pueden ejecutar ataques DDoS y de fuerza bruta a través de esta interfaz, que está implementada por defecto. Los ataques son similares a los del sitio wp-admin, pero se pueden solicitar cientos de combinaciones de nombres de usuario y contraseñas simultáneamente. Por tanto, en este punto hay que decir que la protección más sensata no es un inicio de sesión adicional, sino la autenticación de dos factores.

Sin embargo, para incorporar una protección de contraseña adicional, necesitas otro archivo además del .htaccess, concretamente el denominado .htpasswd. Contiene los datos de acceso que necesitas para la autenticación. Para crearlo, puedes utilizar las herramientas online adecuadas. Encriptan la contraseña que elijas (por ejemplo Günterdergroße86) según el formato MD5 (Federicopingüino86 tiene entonces este aspecto: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 es uno de los cinco formatos de contraseña con los que puede trabajar el servidor Apache. Al final, solo tienes que recordar la contraseña sin cifrar: el servidor se encarga del resto automáticamente.

El .htpasswd creado de esta forma se coloca en el mismo nivel que el .htaccess, normalmente en el nivel superior del directorio WordPress.

En el .htaccess, defines ahora que la autenticación HTTP debe tener lugar al acceder a wp-login.php, y crea un enlace a .htpasswd mediante un fragmento de código. De esta forma, el servidor puede acceder a los datos de acceso definidos previamente en el otro archivo. Aquí se explica cómo funciona, por ejemplo.

El .htaccess especifica entonces que se requiere autorización para acceder a /wp-login.php, y dónde encontrará el servidor las credenciales adecuadas (concretamente en el .htpasswd). Además, prohíbe el acceso al .htaccess, al .htpasswd y al wp-config.php para garantizar que nadie más que tú pueda reconfigurar la instalación.

¿Te parece todo bastante engorroso? Pues sí. Además, puede ocurrir que esta protección adicional mediante contraseña perjudique la compatibilidad de los plugins. Por eso siempre recomiendo la autenticación de dos factores. Se configura rápidamente mediante un plugin y ofrece aún más protección contra intrusiones no autorizadas. Esto se debe a que los códigos de autenticación se transmiten a través de un sistema externo.

Conclusión: Ocultar WP Admin puede dar mucho trabajo y aporta beneficios más bien cosméticos

Lo ideal es que protejas tu área de administración de WP de la forma más ágil posible. Sólo deberías instalar un gran plugin de seguridad si también configuras y utilizas sus otras funciones con sensatez. Si sólo te interesa ocultar el admin de WP, te recomendamos un plugin lo más simplificado posible, como WPS Hide Login. Cualquier otra cosa sería exagerado.

Como medida de seguridad en sí misma, ocultar el admin de WP es insignificante de todos modos. En principio, también se aplica lo siguiente: ningún plugin sustituye a una contraseña segura y al conocimiento de las vulnerabilidades de seguridad más importantes de WordPress. Y cada nuevo plugin conlleva el riesgo de introducir vulnerabilidades de seguridad en el código. Por tanto, es importante sopesar exactamente cuáles y cuántos instalas.

La protección al cien por cien no existe para ningún sitio web. En nuestra opinión, ocultar el área WP Admin no aumenta realmente la seguridad, pero puede contribuir enormemente a la seguridad percibida. Especialmente si trabajas por cuenta de un cliente, no debes subestimar el poder de percepción del cliente. Sin embargo, no es en absoluto suficiente como medida de seguridad única o central. Sin embargo, si la URL modificada se diseña como una de las muchas capas de tu sistema de seguridad, puede ser un añadido útil a tu concepto de seguridad.