Página de inicio de sesión personalizada para WordPress
Cómo cambiar el nombre de wp-login.php, crear una URL de inicio de sesión personalizada y proteger WordPress de ataques automatizados de fuerza bruta y bots.
English version: Custom login page for WordPress
La función de página de inicio de sesión personalizada es una gran herramienta para reducir la superficie de ataque y eliminar los registros de spam. Es lo primero que debe habilitar en un WordPress recién instalado. Otra medida de seguridad muy recomendable es renombrar la carpeta de plugins de WordPress .
Por qué es importante y por qué funciona
De acuerdo con nuestros estudios en Cerber Lab , la mayoría de las herramientas y ataques de piratas informáticos se basan en suposiciones de que el sitio web de una víctima con tecnología de WordPress tiene la página de inicio de sesión predeterminada y los complementos se encuentran en la carpeta predeterminada. Aunque se recomienda no usar valores predeterminados en ningún sitio web, muchos propietarios de sitios web ignoran estos principios simples, lo que permite que los piratas informáticos los ataquen con éxito. Y es por eso que los piratas informáticos aman tanto WordPress, y en un momento dado, vemos cientos de miles de sitios web pirateados.
Configure su página de inicio de sesión personalizada
WP Cerber le permite cambiar de forma fácil y segura la URL de inicio de sesión predeterminada de WordPress wp-login.php a cualquier URL que necesite. En otras palabras, puede configurar su página de inicio de sesión personalizada única y conocida (una URL de inicio de sesión personalizada significa lo mismo en este contexto) y ocultar wp-login.php de los malos actores, escáneres y bots. No necesita editar el archivo .htaccess o cambiar el nombre del archivo wp-login.php. Con WP Cerber puedes configurarlo en varios clics.
- Vaya a la página de administración de Configuración principal del complemento.
- Ingrese su nueva URL de inicio de sesión deseada en el campo URL de inicio de sesión personalizada y guarde la configuración. Eso es todo.
- Si usa un complemento de almacenamiento en caché, agregue su nueva URL de inicio de sesión a la lista de páginas que no se almacenarán en caché.
- Asegúrese de que su nueva URL de inicio de sesión funcione correctamente y que pueda usarla para iniciar sesión. Hágalo en una ventana del navegador de incógnito. No cierre sesión en su sitio web hasta que se asegure de que su nueva URL de inicio de sesión funciona bien .
Cómo ocultar wp-login.php de bots y escáneres
Una vez que haya habilitado la página de inicio de sesión del cliente, tiene sentido ocultar la página de inicio de sesión predeterminada de WordPress para evitar ataques de fuerza bruta. Para lograr esto, establezca la configuración Procesamiento de solicitudes de autenticación de wp-login.php en "Bloquear el acceso a wp-login.php". Al intentar acceder a la página, WP Cerber mostrará la página estándar "404 No encontrado". Solo hay un inconveniente en el que debes pensar. Si un atacante es lo suficientemente inteligente, puede continuar escaneando el sitio web, buscando su página de inicio de sesión real.
Cómo deshabilitar wp-login.php
Otra opción más avanzada que debes considerar es deshabilitar wp-login.php sin bloquear el acceso a él. ¿Como funciona? Esta característica única de WP Cerber detiene cualquier intento de autenticación a través de wp-login.php. Al intentar iniciar sesión, WP Cerber imita el error de contraseña incorrecta predeterminado y aborta el proceso de autenticación del usuario. No importa qué contraseña se ingrese; nadie puede iniciar sesión incluso con la contraseña correcta. Para habilitar esta función, establezca la configuración Procesamiento de solicitudes de autenticación de wp-login.php en "Denegar autenticación a través de wp-login.php".
Una precaución para recordar
Si usted o su usuario olvidan que wp-login.php está deshabilitado y no se puede usar para iniciar sesión, usted o su usuario nunca podrán iniciar sesión en el sitio web y se bloquearán después de varios intentos de usar wp-login.php.
Si configuró "Procesar solicitudes de autenticación de wp-login.php" en cualquier valor que no sea el predeterminado, solo puede usar su URL de inicio de sesión personalizada. Ni /wp-login.php ni /wp-admin/ pueden usarse para iniciar sesión.
Cosas importantes que debes saber
- Si usa un complemento de almacenamiento en caché como W3 Total Cache o WP Super Cache, debe agregar el slug de la nueva URL de inicio de sesión personalizada a la lista de páginas que no deben almacenarse en caché.
- Para una instalación multisitio de WordPress, la nueva URL de inicio de sesión se establece para todos los sitios a nivel mundial.
- No elimine ni cambie el nombre del archivo wp-login.php manualmente. Después de actualizar su WordPress a una versión más nueva, wp-login.php se restaurará y estará accesible para los intrusos nuevamente.
Hazlo más seguro con la autenticación de dos factores
Considere habilitar 2FA para proteger las cuentas de los administradores. La autenticación de dos factores proporciona una capa adicional de seguridad que requiere un segundo factor de identificación más allá de un nombre de usuario y una contraseña.
Saber más: Cómo habilitar la autenticación de dos factores para WordPress
Solución de problemas de la función URL de inicio de sesión personalizada
Habilitar la página de inicio de sesión personalizada puede hacer que algunos complementos dejen de funcionar. Si usa un complemento de personalización de la página de inicio de sesión o un complemento de inicio de sesión social, es posible que dicho complemento ya no funcione. Para solucionar este problema, habilite "Aplazar la visualización de la página de inicio de sesión personalizada". Obtenga más información sobre esta configuración .
Si configuró su URL de inicio de sesión personalizada y después de un tiempo la olvidó, en primer lugar, marque la casilla de correo electrónico del administrador del sitio para recibir un correo electrónico de notificación sobre su nueva URL de inicio de sesión o cualquier informe semanal por correo electrónico. En esos correos electrónicos, puede ver su URL de inicio de sesión personalizada. Si no puede encontrar dicho correo electrónico, debe reinstalar WP Cerber manualmente siguiendo los pasos a continuación.
- Elimine la carpeta del complemento /wp-cerber/ manualmente mediante FTP o cualquier Administrador de archivos en el panel de control de su alojamiento.
- Inicie sesión en su panel de WordPress como de costumbre usando la URL predeterminada /wp-login.php u otra forma que solía usar antes de habilitar la URL de inicio de sesión personalizada.
- Instale y active el complemento WP Cerber Security como de costumbre.
- Vaya a la página de configuración principal del complemento.
- Verifique el campo URL de inicio de sesión personalizado . Muestra su URL de inicio de sesión personalizada que debe usar. Recuerdalo.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.