Ocultar la administración de WP: Popular, complejo y poco eficaz

Tobias Schüring Actualizado por última vez el 20.10.2020
9 Min.
hide wp admin
Actualizado por última vez el 20.10.2020

Casi todo el mundo sabe cómo llegar a la barrera de acceso al área de administración por WordPress defecto. Desde más del 34 por ciento de todos los sitios web WordPress es fácil para los hackers encontrar y atacar las áreas de acceso de estas páginas. Exactamente por esta razón, los hackeos correspondientes, como Brute Force los ataques, pertenecen a la los ataques más frecuentes en WordPress las páginas. Ocultar el área de administración de WP parece ser una simple medida de protección. Hoy les mostraré lo útil que es esta técnica y cómo pueden implementarla.

Brute Force Ataques son probablemente el tipo de ataque más común en WordPress las páginas en general. El proveedor de seguridad por sí solo Wordfence midió casi 1.000 millones de esos ataques en 2017 en unos pocos meses de este año, sin contar el número de ataques no denunciados. Para limitar el riesgo de seguridad de los Brute Force ataques, tiene sentido en principio restringir los intentos de acceso después de demasiados intentos fallidos. Además, muchos WordPress webmasters utilizan otro método: mueven la WP área de administración, para que no se encuentre más bajo el sufijo wp-admin.

Por lo tanto, muchos plugins de seguridad ofrecen una función correspondiente. que también se atreve a usar el archivo .htaccess. Pero esconder el área de administración de WP no es una buena medida de seguridad en sí misma. Pero puede ser una adición útil.

Ocultar la administración de WP: ¿Qué sentido tiene todo esto?

Detrás de la idea de ocultar el área de administración de WP está el principio seguridad a través de la oscuridad ("seguridad a través de la oscuridad/incertidumbre") - la idea de que la seguridad de un sistema es más fuerte mientras su funcionamiento permanezca en secreto. En otras palabras, si el atacante no sabe dónde está la tu puerta de entrada, puede escabullirse por la tu casa, pero no puede entrar.

Seguridad a través de la oscuridad - en la práctica un tigre sin dientes

Este enfoque se discute de forma controvertida entre los expertos, y no sin razón. En este caso, el hecho de que la información sea segura no significa que ya no se pueda acceder a ella en absoluto. Está disponible, pero escondido. Pero con las herramientas adecuadas, los hackers pueden encontrar el tu Loginsitio si quieren.

Y aquí viene el verdadero problema con seguridad a través de la oscuridad en el juego: A menudo el enfoque se utiliza para ocultar los problemas que en cambio deberían ser eliminados completamente. Es tu el nombre del administrador admin y tu la contraseña ¡Contraseña 123!el hacker estará en tu backend en poco tiempo si ha encontrado un tu acceso ocultositio .

En resumen, un área de administración oculta no impide que los atacantes ataquen, sino que sólo prolonga el tiempo de ataque. Desafortunadamente, es imposible ocultar completamente el hecho de que sus WordPress proyectos son WordPress páginas. Esconder el WP-Admin no debería ser la tu única medida de seguridad. Quienquiera que te esté apuntando no podrá escapar.

El concepto seguridad a través de la oscuridad es, por lo tanto, idealmente una de las muchas capas tu del concepto de seguridad. Intentos de acceso limitados (LLA), una contraseña fuerte que incluye una autenticación de dos factores y - si finalmente se utiliza una - una seguridad configurada correctamentePlugin es una mezcla sensata. Esconder el área de administración es sólo la guinda del pastel.

En algunos casos, ocultar el WP-Admin tiene sentido, sin embargo...

Pero en realidad hay algunas situaciones en las que puede tener sentido ocultar el WP-Admin:

  • Ocultar el WP-Admin tiene una fuerte influencia en la seguridad percibida de un WordPress sitio. Especialmente si trabajas en nombre de un cliente, un WP-Admin oculto tiene sentido para maximizar la percepción de seguridad de tu cliente.
  • Cuando los hackers lanzan un Brute Force ataquetu sitio , los servidores web tu pueden ser "sobrecalentados" simplemente por el alto número de solicitudes. Si mueves el área de administración, le quitas el viento a las velas de al menos los Brute Force ataques primitivos desde el principio.
  • Puedes sorprender positivamente a algunos clientes ocultando el área de administración, por ejemplo, si la mueves bajo /nombre de la empresa. De esta manera puedes crear un pequeño pero agradable efecto de marca.

Como pueden ver, estas medidas son más bien de naturaleza cosmética. Pero a veces incluso una mayor seguridad percibida puede ayudar. Por lo tanto, le mostraré a continuación cómo puede asegurar su WP-Admin con y sinPlugins .

Plugins sólo para ocultar la administración, ¿tiene sentido?

La gran seguridadPlugins ofrece, entre muchas otras características, la posibilidad de ocultar el área de administración y la naturaleza tus sitio exacta. Como dije antes, tengo una opinión críticaInstalar Plugin uno voluminoso sólo para cambiar una URL no resuelve todos tu los problemas a la vez. Sólo después de un examen minucioso del tema puede decidir qué medidas de seguridad tienen sentido para su tu proyecto.

Pero en asuntos Plugins que básicamente tienes dos opciones:

  • delgadoPlugins, que fueron desarrollados sólo para ocultar el área de acceso
  • Pluginsque incluyen la ocultación del área de acceso, pero puede hacer mucho más

La seguridadPlugins integral es más voluminosa debido a su funcionalidad extendida. Por eso en principio sólo tienen sentido si se sabe lo que se quiere conseguir con ellas: por ejemplo, bloquear IPs muy específicas, utilizar el Web Application Firewall (WAF) o Plugins aprovechar la información de la También respondemos a la pregunta de cuán sensata es la seguridadPlugins realmente en este artículo.

Instalar Plugin uno grande sólo para ocultar el área de administración es exagerado. tu La velocidad de carga se resiente y apenas tiene valor añadido. Y no es un sustituto para lidiar con las características de seguridad.

Ocultar el área de administración con uno Plugin es sólo aconsejable si puedes usarlo sin grandes pérdidas de rendimiento o funcionalidad - como un Es bueno tener. Extra para este uno grande Plugin como iThemes Security o Wordfence para instalar, no lo recomendaría.

En cambio, aquí hay algunas alternativas más delgadas para ocultar su área de administración:

WPS Ocultar Login

wps esconder login
El WP-Admin puede ser escondido con el WPS Hide LoginPlugin , por ejemplo.

Este libre Plugin hace exactamente a Cosa: Cambia las dos URLs /wp-admin y /wp-login.php a las direcciones que especifiques. Esto añade un obstáculo para los hackers y lo hace un tu sitio poco más seguro. Con más de 400.000 instalaciones activas y un promedio de 4,9 estrellas (¡con más de 1.100 clasificaciones!) esto Plugin se ha demostrado en la práctica.

Proteja su administración

proteger a su administrador
Opcionalmente, esto también funciona con el Plugin programa "Protege tu administración".

EstaPlugin , a pesar de algunas otras características, es una de las más sencillas del mercado y permite especificar una URL personalizada para /wp-admin y /wp-login.php. Si intentas acceder a estas dos páginas, terminarás en la tus página principal. 40.000 usuarios Plugin tienen actualmente instalado esto, el promedio de clasificación es de 3,8 estrellas. Una actualización pagada activa algunas características adicionales como un contador de intentos de acceso.

Escaneo de seguridad, antispam y malware de Cerber

cerber security antispam malware scan
La seguridad de Cerber también Plugin vigila al administrador de WP.

Esto plugin oculta /wp-login.php entre otras cosas y muestra un mensaje de error 404 en su lugar. Pero puede hacer mucho más, por eso vale la pena examinar detalladamente la herramienta. La clasificación es actualmente de 4,9 estrellas y hay unos 100.000 usuarios activos. Eso plugin es gratis.

WP Hide & Security Enhancer

wp hide security enhancer
Otra alternativa es el algo más voluminoso Plugin WP Hide Security Enhancer.
 

Esta gratis Plugin esconde el hecho de que tu el sitio web está WordPress funcionando con. Si esto tiene sentido en principio es cuestionable (con una herramienta como BuiltWith puede salir a la luz rápidamente), pero al mismo tiempo cambia las URLs /wp-admin y /wp-login.php a cualquier otra URL. Más de 50.000 webmasters Plugin lo utilizan actualmente, la calificación media es de 4,3 estrellas.

No hay miedo al código del mal: Asegurando con el .htaccess

Si quieres ocultar el hecho de que se trata de tus sitio una WordPress instalación, puedes Plugins hacerlo a través de algunas de las que se acaban de enumerar. O puedes ir directamente al archivo .htaccess. Es uno de los archivos más importantes de WordPress las instalaciones que se ejecutan en los servidores Apache (Atención: RAIDBOXES-las páginas no se ejecutan en los servidores Apache, por lo que el .htaccess no tiene influencia en el servidor web) Por ejemplo, el .htaccess define qué archivos y directorios tus sitio son visibles y quién tiene acceso a qué.

Con pequeños cambios en este archivo puedes darle a tu tus sitio web una capa extra de seguridad. Específicamente, puedes añadir fragmentos de código que restrinjan el acceso a wp-config.php o bloqueen ciertas IPs. Le recomiendo que antes de hacer cualquier cambio, se asegure de que tiene un Backup de este archivo - si algo sale mal, puedes volver rápida y fácilmente al estado original. Y con .htaccess, incluso un pequeño error en el código puede ser suficiente para tu sitio paralizarlo.

Variante 1: Permitir sólo ciertos PI

Con un .htaccess puedes en principio proteger cada directorio - en este caso quieres proteger el área de administración. Por lo tanto, subes un nuevo .htaccess en el directorio wp-admin. Si en lugar de ello, especifica en la raíz del WordPress directorio que sólo tienen acceso ciertas IPs, excluye todas las demás de tus todo el sitio directorio en lugar de sólo el área de administración.

En el .htaccess del directorio de administración ahora tienes la posibilidad de bloquear IPs específicas para acceder a este directorio. Si utiliza una IP estática, se recomienda que excluya todas las IPs excepto tus la suya propia. De esta manera sólo tú tendrás acceso al área de administración.

Puedes hacer lo mismo para excluir las IPs del sitio wp-login.php, por cierto. Las IPs no autorizadas pueden ser redirigidas a un 404sitio (o a cualquier otra sitio tus marcación) y no podrán acceder a la máscara de acceso en absoluto. Esto puede hacerse insertando el código apropiado.

  • En WordPress Códice se describe cómo se pueden proteger los directorios individuales tus WordPress -instalación
  • Los colegas de WP-Beginner Mostrar en detalle cómo proteger el WP-Admin a través del .htaccess
  • El productor del plugin wpmudev muestra en una guía completacómo puedes usar el .htaccess para proteger las tus páginas

Variante 2: Configurar la protección de la contraseña (o la autenticación de dos factores)

Otra posibilidad muy utilizada para proteger el área de administración con .htaccess es crear una autenticación HTTP adicional. El servidor requiere entonces los datos de acceso adecuados para poder acceder a la tus WordPress página de inicio de sesión.

Esto significa un poco más de trabajo para usted para entrar, pero muchos atacantes tirarán la toalla en este punto. Brute Force Los ataques son bloqueados antes de que hayan comenzado. Sin embargo, incluso esta protección no es completamente infalible, ya que muchos ataques se llevan a cabo a través de la Interfaz XMLrpc correr. Esta interfaz, implementada por defecto, permite a los hackers ejecutar DDoS y Brute Force Ataques correr. Los ataques son similares a los del wp-adminsitio , pero aquí se pueden solicitar cientos de combinaciones de logins y contraseñas simultáneamente. Por lo tanto, hay que decir en este punto que la protección más sensata no es un login adicional, sino una autenticación de dos factores

Pero para añadir una protección adicional con contraseña necesitas otro archivo además del .htaccess, el llamado .htpasswd. Contiene los datos de acceso necesarios para la autenticación. Para crearlo, puedes apropiado en líneaHerramientas uso. Se encripta la contraseña tu deseada (por ejemplo Günterdergroße86) según el formato MD5 (Günterdergroße86 se ve así: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 es uno de los cinco formatos de contraseña con los que puede trabajar el servidor Apache. Pero sólo tienes que recordar la contraseña no encriptada - el servidor hará el resto automáticamente.

El .htpasswd creado de esta manera se pone al mismo nivel que el .htaccess, normalmente el nivel superior del WordPress directorio.

En el .htaccess se define ahora que la autenticación HTTP debe tener lugar al acceder a wp-login.php y se crea un enlace al .htpasswd a través de un fragmento de código. Esto permite al servidor acceder a las credenciales previamente definidas en el otro archivo. Se explica cómo se hace esto, por ejemplo aquí explicado.

El .htaccess especifica entonces que se requiere una autorización para acceder a /wp-login.php y donde el servidor encuentra los datos de acceso apropiados (a saber, en el .htpasswd). Además, está prohibiendo el acceso a .htaccess, el .htpasswd y wp-config.php para asegurarse de que nadie más que usted pueda reconfigurar la tu instalación.

¿Todo parece bastante complicado? Lo es. Además, puede suceder que esta protección adicional con contraseña Compatibilidad de Plugins los discapacitados. Por eso siempre recomendaría una autenticación de dos factores. Esto se establece Plugin rápidamente a través de un y también ofrece aún más protección contra la intrusión no autorizada. Porque los códigos de autenticación se transmiten a través de un sistema externo.

Conclusión: Ocultar el WP-Admin puede ser mucho trabajo - y trae más beneficios cosméticos

Lo ideal sería que protegieras tu área de administración de WP de la forma más delgada posible. Sólo debes instalar un gran plugin de seguridad si configuras y utilizas sus otras funciones con sensatez. Si sólo quieres ocultar el WP-Admin, te recomendamos una versión reducidaPlugin. Todo lo demás sería exagerado.

Como medida de seguridad separada, ocultar el WP-Admin es insignificante de todos modos. En principio, nadie puede Plugin sustituir una contraseña fuerte y el conocimiento de las lagunas de seguridad WordPress más importantes. Y cada nuevo Plugin lleva el peligro de introducir agujeros de seguridad en el código. Por lo tanto, es importante sopesar cuidadosamente qué y cuántos se instalan.

La protección al 100% no existe para ningún sitio web. En nuestra opinión, ocultar la sección de wp-admin no aporta más seguridad. Pero puede contribuir enormemente a la seguridad percibida. Especialmente si trabajas para un cliente, no debes subestimar el poder de la percepción del cliente. Sin embargo, no es en absoluto suficiente como medida de seguridad única o central. Pero si el URL modificado está diseñado como una de las muchas capas tu de un sistema de seguridad, puede ser una adición útil al tu concepto de seguridad.

Como administrador de sistemas, Tobías vigila nuestra infraestructura y encuentra todas las formas posibles de optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le Slack encuentra por la noche.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

tu La dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con * marcado.