Cómo cambiar la URL de inicio de sesión de WordPress de la manera correcta

Si ha pasado algún tiempo construyendo, creando y desarrollando en la plataforma de WordPress, sabe que encontrar el inicio de sesión predeterminado de WordPress es increíblemente simple.

Simplemente agregue "/wp-admin" al final de cualquier sitio web que se ejecute en WordPress, y estará en la puerta principal del sistema de administración de contenido.

Junto con una contraseña débil, acaba de crear un campo de juego para que los atacantes maliciosos exploten libremente. Según el experto en seguridad Sucuri, de los 14 500 sitios que revisaron, el 22,61 % de las inyecciones de malware en el tercer trimestre de 2022 fueron campañas masivas de malware dirigidas a la plataforma WordPress.

Si bien cambiar la URL de la página de inicio de sesión de WordPress no es 100% infalible para los atacantes, es un paso adicional que puede tomar para ponérselo más difícil.

En este artículo, analizamos dos métodos comunes para cambiar su URL de inicio de sesión, así como medidas de seguridad adicionales para ayudar a frustrar a los atacantes. Estos pasos se aplican a la mayoría de las instalaciones de alojamiento compartido o dedicado de WordPress, pero esté atento a las notas especiales relacionadas con las diferencias con el WordPress administrado por EasyWP.

Cambiar su URL de inicio de sesión con el complemento Ocultar inicio de sesión de WPS

Si prefiere no modificar los archivos principales de WordPress, querrá probar esta opción primero. De los dos métodos, este es, con mucho, la implementación más rápida.

Al igual que con muchas personalizaciones para WordPress, hay un complemento para personalizar su URL de inicio de sesión. Con más de 1 millón de descargas, el complemento WPS Hide Login tiene más de 1900 calificaciones de 5 estrellas, por lo que puede estar seguro de que estará disponible en los próximos años.

Instalación del complemento Ocultar inicio de sesión de WPS

Para comenzar, diríjase a la página oficial de descarga de WPS Hide Login. Después de descargar el complemento, instálelo y actívelo siguiendo estos pasos:

1. En el Panel de WordPress, busque Complementos> Agregar nuevo
2. Haga clic en Cargar complemento
3. Haga clic en Elegir archivo y seleccione el complemento de inicio de sesión
4. Haga clic en el botón Instalar ahora
5. Cuando se le solicite, haga clic en el botón Activar complemento

Configuración del complemento Ocultar inicio de sesión de WPS

1. A continuación, vaya a la sección Configuración > General del panel de control de WordPress. Desplácese hasta la parte inferior de la página hasta que vea una sección llamada "WPS Hide Login".
2. Este es el paso donde puede configurar su URL de inicio de sesión. Escriba la URL de inicio de sesión personalizada de WordPress en el campo de texto a la derecha del dominio de su sitio web. En este ejemplo, actualizamos la URL de inicio de sesión personalizada a:

 https://yourwebsite.name/your-new-login-name

3. Este paso es opcional, pero también puede redirigir a los visitantes que intentan visitar el inicio de sesión predeterminado de WordPress especificando la URL en el campo de texto URL de redirección.

Haga clic en "Guardar cambios" para habilitar la nueva URL de inicio de sesión personalizada.

A continuación, pruebe su URL de inicio de sesión predeterminada de WordPress para asegurarse de que no sea accesible. En el navegador, escriba su URL de inicio de sesión predeterminada. Por ejemplo:

 yourwebsitename.com/wp-admin

Esta URL de prueba debería llevarlo a una página 404 o a la URL de redirección si agregó una durante el paso de configuración anterior.

Finalmente, pruebe la nueva URL de inicio de sesión personalizada de WordPress que creó con el complemento para asegurarse de llegar a la nueva URL de inicio de sesión.

El siguiente método no requiere un complemento, pero recomendamos estar familiarizado con el sistema de archivos del host.

Cambiar su URL de inicio de sesión sin un complemento

Si prefiere mantener su sitio web de WordPress optimizado con menos complementos, este podría ser el método adecuado para usted.

Antes de comenzar, le recomendamos encarecidamente que haga una copia de seguridad de su sitio web existente. La edición de los archivos principales de WordPress puede hacer que su sitio web quede inutilizable rápidamente. Desea asegurarse de que haya al menos una forma de copia de seguridad.

Hay cuatro pasos principales para completar este método:

1. Descarga una copia del archivo wp-login.php
2. Edite el archivo wp-login.php duplicado
3. Crear un tema hijo
4. Agregue un fragmento de código al archivo functions.php del Child Theme

Comprender el sistema de archivos de WordPress

Similar a una estructura de carpetas basada en Windows, WordPress tiene su propia estructura de carpetas y archivos. La mayoría de los sitios web ahora usan opciones de alojamiento compartido o administrado, por lo que, para modificar estos archivos, normalmente deberá iniciar sesión en su cuenta de host.

Dependiendo de su host, las pantallas de las instrucciones a continuación variarán, pero los pasos serán los mismos en la mayoría de las principales plataformas de alojamiento.

Si está trabajando sin conexión en una estación de trabajo, se aplican los mismos pasos. Sin embargo, sus archivos estarán en su disco local en lugar de en los servidores de la nube del host.

Vamos a empezar.

1. Descarga una copia del archivo wp-login.php

El archivo wp-login.php es responsable de dirigir a los visitantes a la página de inicio de sesión correcta cuando escriben la URL de inicio de sesión predeterminada de WordPress. Se recomienda hacer una copia de seguridad de esta copia antes de modificar la URL de inicio de sesión.

Con el alojamiento compartido tradicional, vaya al Administrador de archivos de su host. Con el alojamiento administrado EasyWP, no hay Administrador de archivos . Sin embargo, aún puede acceder a los archivos y carpetas de su sitio web a través de SFTP. Cada host tendrá su propia forma única de encontrar el Administrador de archivos. Para encontrar las instrucciones específicas de su host, puede buscar en Google "Administrador de archivos para [su nombre de host]".

Una vez que encuentre el Administrador de archivos, navegue a la carpeta public_html.

Encuentra el archivo wp-login.php. Descargue el archivo localmente para tener una copia del mismo.

Por lo general, puede descargar haciendo clic derecho en el archivo y seleccionando la opción Descargar o usando los botones de menú en la parte superior de la pantalla del Administrador de archivos.

Luego, con la copia fuera de línea, haga una copia duplicada del archivo wp-login.php. Guarde el original en una carpeta de respaldo. Modificaremos esta versión duplicada en la siguiente sección.

2. Edite el archivo wp-login.php duplicado

Encuentre el archivo wp-login.php duplicado en su escritorio y ábralo en cualquier editor de texto que tenga la función de buscar y reemplazar.

En el editor de texto, busque wp-login.php y reemplace todas las instancias con la nueva URL de inicio de sesión que le gustaría usar.

Por ejemplo, busque todas las instancias de wp-login.php y reemplácelas con my-new-login.php, que sería su nueva URL personalizada.

Guarde los cambios y cambie el nombre del archivo para que coincida con su nueva URL (por ejemplo, my-new-login.php) para identificarlo fácilmente más tarde. Este paso no es un requisito para que funcione, pero sí recomendable.

Al usar WordPress administrado por EasyWP, cambiar el nombre del archivo wp-login.php afecta un poco tanto la funcionalidad del panel de EasyWP como la funcionalidad predeterminada de WordPress. Estas interrupciones de la funcionalidad no son críticas, pero pueden requerir un conocimiento avanzado de WordPress para resolverlas. Si es relativamente nuevo en este tipo de cambios avanzados en WordPress, consulte nuestro centro de ayuda o comuníquese con el servicio al cliente antes de comenzar el proceso de cambio de nombre.

A continuación, si está utilizando un alojamiento compartido o un servidor dedicado, vuelva al Administrador de archivos del host y cargue este nuevo archivo en la carpeta public_html.

En este punto, debería tener el nuevo archivo personalizado y el archivo wp-login.php original en la misma carpeta. Ahora puede eliminar el archivo wp-login.php del Administrador de archivos ya que se creó una copia de seguridad en el paso anterior.

Recuerda que con WordPress administrado desde EasyWP, no existe una carpeta public_html. Al conectarse a través de SFTP, deberá acceder directamente a la carpeta de inicio y ver la lista de carpetas y archivos de WordPress inmediatamente después de establecer la conexión.

Solo su archivo de inicio de sesión personalizado debe estar en esta carpeta. A continuación, crearemos un tema hijo.

3. Crear un tema hijo

Dado que estamos modificando los archivos principales de WordPress, cuando creamos un tema secundario, mantendrá los cambios habilitados en el sitio en caso de que se actualice su versión de WordPress.

Si no crea un tema secundario, aún puede actualizar manualmente la URL de inicio de sesión, pero tendrá que volver a realizar los pasos con cada actualización de WordPress, lo que puede ser una molestia, por lo que recomendamos usar un tema secundario.

Primero, verifique si su tema actual ya tiene un tema secundario disponible. Si es así, actívelo en el Panel de WordPress y vaya al paso 4 de las instrucciones a continuación.

Si un tema secundario no está disponible, le recomendamos crear un tema secundario desde cero o puede descargar su muestra y modificar el código.

Si descargó la opción "Ejemplo de tema infantil de Kadence" del enlace anterior, debería tener tres archivos:

• funciones.php
• captura de pantalla.png
• estilo.css

A continuación, debemos agregar un código personalizado a la versión secundaria del archivo functions.php para que pueda cerrar sesión y restablecer la contraseña correctamente con la nueva URL de inicio de sesión.

4. Agregue un fragmento de código al archivo functions.php del tema secundario

Uno de los problemas de cambiar la URL de inicio de sesión predeterminada es que rompe la contraseña perdida y los flujos de cierre de sesión. Podemos arreglar esto agregando un código personalizado que se conoce como gancho de filtro.

En su escritorio, abra la carpeta del tema secundario y busque el archivo functions.php.

Abra el archivo en el editor de texto y agregue el siguiente código.

 <?php /** * Enqueue child styles. */ function child_enqueue_styles() { wp_enqueue_style( 'child-theme', get_stylesheet_directory_uri() . '/style.css', array(), 100 ); } // add_action( 'wp_enqueue_scripts', 'child_enqueue_styles' ); // Remove the // from the beginning of this line if you want the child theme style.css file to load on the front end of your site. add_filter( 'logout_url', 'my_logout_page', 10, 2 ); function my_logout_page( $logout_url) { return home_url( '/my-new-login.php'); } add_filter( 'lostpassword_url', 'my_lost_password_page', 10, 2 ); function my_lost_password_page( $lostpassword_url ) { return home_url( '/my-new-login.php?action=lostpassword'); }

Reemplace las líneas en el código que dice "mi nuevo inicio de sesión" con su URL personalizada específica. Guarde los cambios.

Cuando haya terminado, su código debería verse similar a la imagen de abajo. Su archivo functions.php puede tener un número diferente de líneas, lo cual es típico si tiene un tema secundario diferente.

A continuación, vuelva al Administrador de archivos y vuelva a public_html > wp-content > themes > [el nombre de su tema].

Cargue toda la carpeta del tema secundario. Si su tema ya tiene un tema secundario, solo necesita realizar las modificaciones de código desde arriba y puede omitir este paso de carga.

Ahora debería estar su tema original (p. ej., kadence) y las carpetas del tema secundario (kadence-child) en la carpeta Temas.

A continuación, vaya a su nueva URL de inicio de sesión personalizada (p. ej., susitioweb.com/mi-nuevo-inicio de sesión.php) e inicie sesión en su Panel de WordPress.

Vaya a Apariencia > Temas

Activa el tema hijo.

Finalmente, pruebe que el código de enlace del filtro function.php funcionó cerrando la sesión de WordPress. Sabrá que los pasos funcionaron si se le redirige a su nueva página de inicio de sesión de URL personalizada y no a las siguientes URL:

 yourwebsite.com/wp-admin yourwebsite.com/wp-login.php

Ahora ha actualizado con éxito su URL de inicio de sesión personalizada de WordPress. En la siguiente sección, proporcionaremos algunos pasos prácticos para proteger aún más su sitio web de WordPress.

Asegurar su sitio web de WordPress

Cuando se trata de seguridad, se trata de establecer un equilibrio entre comodidad y tranquilidad. Antes de bloquear toda su instalación de WordPress, tenga en cuenta por qué está asegurando los datos.

Si su sitio web es un blog de pasatiempos personales, probablemente pueda agregar una contraseña segura y dar por terminado el día. Si todo su sustento está en el sitio web, querrá capas adicionales de seguridad.

Aquí hay tres pasos procesables que puede implementar hoy para aumentar su seguridad de WordPress.

1. Use credenciales de inicio de sesión seguras

Suena simple, pero un sorprendente número de propietarios de sitios web todavía usan contraseñas no seguras. Recomendamos una combinación de 14 a 16 caracteres en mayúsculas y minúsculas (incluidos los caracteres especiales).

Para recuperar fácilmente la contraseña, intente usar un administrador de contraseñas para mantenerlo todo organizado.

Asegúrese también de cambiar las contraseñas críticas periódicamente en caso de que sus credenciales sean parte de alguna filtración de datos exitosa por parte de los servicios que se vieron comprometidos.

2. Mantenga actualizadas las instalaciones, complementos y temas de WordPress

Los desarrolladores siempre están reparando vulnerabilidades en su software. Asegúrese de aplicar estas actualizaciones regularmente en los elementos del menú Temas, Complementos y Apariencia del Panel de WordPress.

Si tiene un complemento que sospecha que dañará la experiencia del usuario después de una actualización, haga una copia de seguridad de su sitio web antes de la actualización. Realice una verificación rápida después de la actualización para asegurarse de que todo se vea correcto.

Tendrá la tranquilidad de saber que hay una copia de seguridad disponible.

3. Aplicar el certificado SSL de su host

Las plataformas como EasyWP facilitan comenzar con la seguridad. Por defecto con los subdominios gratuitos, el Certificado SSL ya está instalado.

Si está alojado en otras plataformas, consulte los artículos de su base de conocimientos o el servicio de atención al cliente para encontrar instrucciones sobre cómo habilitar el certificado SSL.

Nuestros paquetes EasyWP Turbo y Supersonic incluyen un certificado SSL gratuito para dominios personalizados. Estos certificados gratuitos deben activarse manualmente. La activación es bastante simple, así que consulte nuestras instrucciones sobre cómo activar un certificado SSL gratuito proporcionado con Turbo y Supersonic.

Este simple paso mostrará una prueba de autenticación de la identidad del sitio web y proporcionará una conexión cifrada. Esto es particularmente importante si solicita a los clientes que ingresen datos confidenciales, como la información de la tarjeta de crédito.

Actualice las URL de WordPress y de la dirección del sitio a las versiones HTTPS. Algunos hosts predeterminarán estas dos configuraciones a la versión HTTP incluso si tiene habilitado un certificado SSL.

Preguntas frecuentes

¿Qué sucede si cambio mi tema después de crear una URL de inicio de sesión personalizada?

Si usó el método del complemento, el cambio de temas no debería entrar en conflicto con la URL de inicio de sesión personalizada.

Si cambió su URL de inicio de sesión personalizada manualmente a través del código, deberá actualizar el archivo functions.php nuevamente con el nuevo tema.

Solo asegúrese de crear un nuevo tema secundario y cárguelo en el Administrador de archivos descrito en el paso 3 anterior.

¿Qué sucede si encuentro un mensaje de error al actualizar el código?

Si encuentra un mensaje de error y no puede depurarlo, le recomendamos que elimine el tema secundario y el archivo de URL de inicio de sesión personalizado que creó. A continuación, cargue los archivos de copia de seguridad y vuelva a intentarlo.

Si está desarrollando en su estación de trabajo local, la última versión de WordPress y las versiones anteriores de WordPress pueden ser útiles si sus copias de seguridad no están disponibles o están dañadas.

Para las opciones de alojamiento administrado, como EasyWP, recomendamos comunicarse con el servicio de atención al cliente, ya que pueden ayudarlo más.

Como alternativa, también puede considerar usar el método de complemento detallado en este artículo.

Mi sitio web ya no es accesible, ¿qué debo hacer?

Si su sitio web ya no funciona, le recomendamos que elimine el tema secundario y el archivo de URL de inicio de sesión personalizado que creó y cargue las versiones de respaldo para volver a intentarlo.

Si eso no funciona, busque y restaure la copia de seguridad de todo el sitio web. La mayoría de los servicios de alojamiento también tendrán una copia de seguridad de su sitio web si olvida hacer una copia de seguridad.

Colaborador: David Lin

David Lin es un experto en marketing de crecimiento y gerente de proyectos. Antes de comenzar su blog en hellodavelin.com, produjo títulos AAA en EA, Activation y Microsoft. Actualmente brinda consultoría SEO para marcas SaaS.