Ocultar WP Admin: Popular, engorroso y no especialmente eficaz

Tobias Schüring Última actualización 20.10.2020
9 min.
wp admin hide
Última actualización 20.10.2020

Casi todo el mundo sabe cómo llegar a la barrera de acceso al área de administración en WordPress por defecto. Dado que más del 34 por ciento de los sitios web funcionan con WordPress , es fácil para los hackers encontrar y atacar las áreas de acceso de estos sitios. Precisamente por eso, los hacks correspondientes, como los ataques a Brute Force , se encuentran entre los más comunes ataques más frecuentes a los sitios WordPress en absoluto. Una simple medida de protección parece ser la ocultación del área de administración de WP. Hoy te mostraré lo útil que es esta técnica y cómo puedes ponerla en práctica.

Brute Force Los ataques son probablemente el tipo de ataque más frecuente en los sitios WordPress . Solo el proveedor de seguridad Wordfence midió en algunos meses de este año casi mil millones de ataques de este tipo en 2017, sin contar el número de casos no denunciados. Para limitar el riesgo de seguridad de los ataques de Brute Force , en principio tiene sentido restringir los intentos de inicio de sesión después de demasiados intentos fallidos. Además, muchos webmasters de WordPress utilizan otro método: mueven elárea de administración de WP, para que no se encuentre bajo el sufijo wp-admin.

Por lo tanto, muchos plugins de seguridad ofrecen la función correspondiente. Que también puede atreverse con el archivo .htaccess. Pero ocultar el área de administración de WP por sí mismo no es una buena medida de seguridad. Pero puede ser un complemento útil.

Ocultar WP Admin: ¿Qué sentido tiene?

Detrás de la idea de ocultar el área de administración de WP está el principio de seguridad a través de la oscuridad ("seguridad a través de la oscuridad"): la idea de que la seguridad de un sistema es más fuerte mientras su funcionalidad permanezca en secreto. O en otras palabras: si el atacante no sabe dónde está la puerta de entrada de tu , puede escabullirse por la casa de tu , pero no puede entrar.

Seguridad a través de la oscuridad: un tigre sin dientes en la práctica

Este planteamiento es objeto de controversia entre los expertos, y no sin razón. En este caso, el hecho de que la información sea segura no significa que ya no se pueda acceder a ella en absoluto. Está ahí, pero está escondido. Con las herramientas adecuadas, los hackers pueden encontrar tu Login-sitio si lo desean.

Y aquí viene el verdadero problema con seguridad a través de la oscuridad El enfoque se utiliza a menudo para ocultar problemas que deberían eliminarse por completo. Si tu nombre del administrador es admin y tu contraseña ¡Contraseña123!el hacker estará en su backend en poco tiempo si encuentra tu login oculto-sitio .

En resumen, un área de administración oculta no impide que los atacantes ataquen, sólo aumenta el tiempo que tardan en realizar el ataque. Sin embargo, por desgracia, es imposible ocultar por completo el hecho de que sus proyectos de WordPress son sitios WordPress . Así que ocultar el admin de WP definitivamente no debería ser la única medida de seguridad de tu . Quienquiera que sea su objetivo no podrá escapar.

El concepto seguridad a través de la oscuridad es, por tanto, idealmente una de las muchas capas del concepto de seguridad de tu . Limitar los intentos de inicio de sesión (LLA), una contraseña fuerte que incluya la autenticación de dos factores y -si finalmente se utiliza- una seguridad bien configuradaPlugin son una mezcla sensata. Ocultar el área de administración es sólo la guinda del pastel.

En algunos casos, ocultar el administrador de WP sigue teniendo sentido

Ahora bien, hay algunas situaciones en las que puede tener mucho sentido ocultar el admin de WP:

  • Ocultar el WP-Admin tiene una fuerte influencia en la seguridad percibida de un WordPress sitio. Especialmente si trabajas en nombre de un cliente, un WP-Admin oculto tiene sentido para maximizar la percepción de seguridad de tu cliente.
  • Brute Force Si los hackers lanzan un ataque a tu sitio , es posible que el servidor web tu se "sobrecaliente" simplemente por el elevado número de peticiones. Si mueves el área de administración, al menos quitas el viento de las velas de los ataques primitivos de Brute Force desde el principio.
  • Puede sorprender positivamente a algunos clientes ocultando el área de administración, por ejemplo, si la mueve bajo /nombre-de-la-empresa. De este modo, puede crear un pequeño pero bonito efecto de marca.

Como puede ver, estas medidas son más bien de carácter cosmético. Pero incluso una mayor seguridad percibida puede ayudar a veces. Por eso te mostraré a continuación cómo puedes asegurar tu admin de WP con y sin Plugins .

UtilizaPlugins sólo para ocultar al administrador, ¿tiene sentido?

Gran seguridadPlugins también ofrecen la posibilidad de ocultar el área de administración y la naturaleza exacta tus sitio entre muchas otras características. Como he dicho antes, lo veo críticamente: instalar un voluminoso Plugin sólo para cambiar una URL no resuelve todos los problemas de tu de un plumazo. Sólo después de un examen exhaustivo del tema podrá decidir qué medidas de seguridad tienen sentido para el proyecto tu .

Sin embargo, cuando se trata de Plugins , tiene básicamente dos opciones:

  • slim Plugins, diseñado sólo para ocultar el área de inicio de sesión
  • Plugins, que incluyen la ocultación de la zona de acceso, pero pueden hacer mucho más

La seguridad integralPlugins es más voluminosa debido a su amplia funcionalidad. Por lo tanto, sólo tienen sentido si se sabe lo que se quiere conseguir con ellos: por ejemplo, bloquear IPs específicas, utilizar el Web Application Firewall (WAF) o beneficiarse de los informes de Plugins . La pregunta sobre la utilidad real de la seguridadPlugins también se responde en este artículo.

Instalar un gran Plugin sólo para ocultar el área de administración es una exageración. tu la velocidad de carga se resiente y al final tiene poco valor añadido. Y tampoco es un sustituto para tratar los elementos de seguridad.

Por lo tanto, ocultar el área de administración con un Plugin sólo es aconsejable si se puede utilizar sin grandes pérdidas de rendimiento o funcionalidad, como una especie de agradable de tener. Instalar un gran Plugin como iThemes Security o Wordfence sólo para eso, no lo recomendaría.

En su lugar, aquí hay algunas alternativas más elegantes para ocultar su área de administración:

WPS Hide Login

wps hide login
Por ejemplo, se puede ocultar el admin de WP con el WPS Hide Login Plugin .

Esta página web gratuita Plugin hace exactamente lo siguiente un cosa: Cambia las dos URLs /wp-admin y /wp-login.php a las direcciones que especifiques. Esto añade un obstáculo para los hackers y hace que tu sitio sea un poco más seguro. valoraciones Con más de 400.000 instalaciones activas y una valoración media de 4,9 estrellas (¡de más de 1.100!), Plugin ha demostrado su valía en el sector.

Proteja su administración

proteja a su administrador
Opcionalmente, esto también funciona con la página web Plugin Proteja a su administrador.

El Plugin , a pesar de tener algunas características más, es uno de los más delgados del mercado y permite especificar una URL personalizada para /wp-admin y /wp-login.php. Cualquiera que intente acceder a cualquiera de las dos páginas aterrizará en la página de inicio de tus . 40.000 usuarios tienen actualmente instalado este Plugin , con una clasificación media de 3,8 estrellas. Una actualización de pago desbloquea algunas características adicionales como un contador de intentos de inicio de sesión.

Cerber Security, Antispam & Malware Scan

cerber security antispam malware scan
Cerber Security Plugin también protege al administrador de WP.

Esto plugin oculta /wp-login.php entre otras cosas y muestra un mensaje de error 404 en su lugar. Pero puede hacer mucho más, por eso vale la pena examinar detalladamente la herramienta. La clasificación es actualmente de 4,9 estrellas y hay unos 100.000 usuarios activos. Eso plugin es gratis.

WP Hide & Security Enhancer

wp hide security enhancer
Otra alternativa es el ligeramente más voluminoso Plugin WP Hide Security Enhancer.
 

Este Plugin gratuito oculta el hecho de que el sitio web tu funciona con WordPress . Si esto tiene sentido en principio, está por ver (con una herramienta como BuiltWith, esto puede ser rápidamente sacado a la luz de nuevo), pero cambia las URLs /wp-admin y /wp-login.php en el mismo movimiento a cualquier otra URL. Más de 50.000 webmasters utilizan actualmente Plugin , la valoración media es de 4,3 estrellas.

No tengas miedo del mal código: Asegurar con el .htaccess

Si quiere ocultar el hecho de que tus sitio es una instalación de WordPress , puede hacerlo mediante algunos de los archivos de Plugins que acabamos de enumerar. O puede manipular directamente el archivo .htaccess. Es uno de los archivos más importantes de las instalaciones de WordPress que se ejecutan en servidores Apache (nota: los sitios RAIDBOXES no se ejecutan en servidores Apache, por lo que el .htaccess no tiene influencia en el servidor web). El .htaccess define, por ejemplo, qué archivos y directorios de tus sitio son visibles y quién tiene acceso a qué.

Con pequeños cambios en este archivo puede dar al sitio web tus una capa extra de seguridad. En concreto, se añaden fragmentos de código individuales que restringen el acceso a wp-config.php o bloquean determinadas IP. Te recomiendo que hagas siempre una copia de seguridad de este archivo antes de realizar cualquier cambio: si algo va mal, podrás volver al estado original de forma rápida y sencilla. Y con .htaccess, incluso un pequeño error en el código puede ser suficiente para paralizar tu sitio .

Variante 1: Permitir sólo ciertas IPs

En principio, cualquier directorio puede ser protegido con un .htaccess - en este caso, usted quiere proteger específicamente el área de administración. Por lo tanto, sube un nuevo .htaccess en el directorio wp-admin. En cambio, si se especifica en el directorio principal de WordPress que sólo tienen acceso ciertas IPs, se excluye a todas las demás de tus entero sitio en lugar de sólo del área de administración.

En el .htaccess del directorio de administración tiene ahora la posibilidad de bloquear el acceso de determinadas IPs a este directorio. Si está utilizando una IP estática, se recomienda excluir todas las IPs excepto tus . De esta manera, sólo tú tendrás acceso al área de administración.

Por cierto, puedes hacer lo mismo para excluir IPs del sitio wp-login.php. Las IPs no autorizadas pueden, por ejemplo, ser redirigidas a un 404-sitio (o a otra opción de sitio tus ) y no llegar a la pantalla de acceso. Esto puede hacerse insertando el código apropiado.

  • El códiceWordPress describe cómo se pueden proteger los directorios individuales tus WordPress instalación.
  • Los compañeros de WP-Beginner te muestran en detalle cómo proteger el WP-Admin mediante .htaccess
  • El fabricante del plugin wpmudev muestra en una guía completa cómo se puede utilizar el .htaccess para proteger las páginas de tus

Variante 2: Configurar la protección por contraseña (o la autenticación de dos factores)

Otra posibilidad muy utilizada para proteger el área de administración con el .htaccess es crear una autenticación HTTP adicional. El servidor ya requiere entonces los datos de acceso correspondientes para llegar incluso a la página de inicio de sesión tus WordPress .

Esto supone un poco más de esfuerzo para ti al iniciar la sesión, pero muchos atacantes tiran la toalla en este punto. Brute Force Los ataques se bloquean incluso antes de que hayan comenzado. Sin embargo, incluso esta protección no es completamente infalible, ya que muchos ataques se ejecutan a través de la interfaz XMLrpc. Los hackers pueden ejecutar ataqueBrute Force s DDoS y a través de esta interfaz, que está implementada por defecto. Los ataques son similares a los del wp-admin-sitio, pero aquí se pueden solicitar cientos de combinaciones de inicios de sesión y contraseñas simultáneamente. Por lo tanto, hay que decir en este punto que la protección más sensata no es un inicio de sesión adicional, sino una autenticación de dos factores.

Sin embargo, para implementar una protección de contraseña adicional, se necesita otro archivo además del .htaccess, concretamente el llamado .htpasswd. Contiene los datos de acceso necesarios para la autentificación. Para crearla, puedes utilizar las herramientas online adecuadas. Cifran tu contraseña de su elección (por ejemplo Günterdergroße86) según el formato MD5 (Günterdergroße86 tiene el siguiente aspecto: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 es uno de los cinco formatos de contraseña con los que puede trabajar el servidor Apache. Al final, sin embargo, sólo tienes que recordar la contraseña no cifrada: el servidor se encarga del resto automáticamente.

El .htpasswd creado de este modo se coloca en el mismo nivel que el .htaccess, normalmente el nivel superior del directorio WordPress .

En el .htaccess se define ahora que la autenticación HTTP debe tener lugar al acceder a wp-login.php y se crea un enlace al .htpasswd mediante un fragmento de código. De este modo, el servidor puede acceder a las credenciales previamente especificadas en el otro archivo. Aquí se explica cómo funciona, por ejemplo.

El .htaccess especifica entonces que se requiere autorización para acceder a /wp-login.php, y dónde encontrará el servidor las credenciales adecuadas (concretamente en el .htpasswd). Además, prohíbe el acceso al .htaccess, al .htpasswd y al wp-config.php para garantizar que nadie más que usted pueda reconfigurar la instalación de tu .

¿Le parece todo bastante engorroso? Lo es. Además, esta protección adicional con contraseña puede comprometer la compatibilidad de Plugins . Por eso siempre recomiendo la autenticación de dos factores. Esto se configura rápidamente a través de Plugin y también proporciona aún más protección contra la intrusión no autorizada. Esto se debe a que los códigos de autentificación se transmiten a través de un sistema externo.

Conclusión: Ocultar el WP-Admin puede ser mucho trabajo - y trae más bien un beneficio cosmético

Lo ideal es que protejas tu área de administración de WP de la forma más ágil posible. Sólo deberías instalar un gran plugin de seguridad si también configuras y utilizas sus otras funciones con sensatez. Por lo tanto, si sólo te preocupa ocultar el administrador de WP, nuestro consejo es que vayas lo más ajustado posible Plugin. Todo lo demás sería una exageración.

Como medida de seguridad propia, ocultar el admin de WP es insignificantemente efectivo de todos modos. En principio, también se aplica lo siguiente: ningún Plugin sustituye a una contraseña fuerte y al conocimiento de las vulnerabilidades de seguridad más importantes de WordPress . Y cada nuevo Plugin conlleva el riesgo de introducir vulnerabilidades de seguridad en el código. Por lo tanto, es importante considerar cuidadosamente cuáles y cuántas instalar.

La protección del 100% no existe para ningún sitio web. En nuestra opinión, ocultar el área wp-admin no aumenta realmente la seguridad. Pero puede contribuir enormemente a la seguridad percibida. Especialmente si trabaja en nombre de un cliente, no debe subestimar el poder de la percepción del cliente. Sin embargo, no es suficiente como única o principal medida de seguridad. Sin embargo, si la URL modificada se diseña como una de las muchas capas del sistema de seguridad de tu , puede complementar el concepto de seguridad de tu con bastante sentido.

Como administrador de sistemas, Tobias vigila nuestra infraestructura y encuentra cada tornillo para optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le puede encontrar por la noche en Slack .

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

La dirección de correo electrónicotu no se publicará. Los campos obligatorios están marcados con *.