Creo que todo el mundo que trabaja con WordPress conoce el WP-ADMIN, ya que desde ahí podremos administrar todas las funcionalidades y características del sitio web.
Para acceder al panel de administración de WordPress, antes debemos acceder al login de WordPress a través de /wp-admin/ o /wp-login.php. En cualquiera de los dos casos, esto nos llevará directos al login de WordPress:
Si metemos en el navegador nuestro dominio seguido de /wp-admin, es decir, como si quisiéramos acceder a la carpeta wp-admin, automáticamente nos llevará a wp-login.php.
Como puedes ver en la captura anterior, aquí es donde debemos introducir nuestro usuario y contraseña de acceso al admin de WordPress.
Es normal que cualquier página web, independientemente de que sea un WordPress o no, disponga un de un panel de administración protegido por usuario y contraseña. Pero aquí vamos a centrarnos en WordPress y su login o acceso, además de mencionar al menos un plugin para cada acción.
Índice del artículo
Proteger el wp-admin y wp-login.php
El wp-admin y el wp-login.php son dos blancos comunes de los ataques de fuerza brutal que intentan adivinar la contraseña de acceso al dashboard de WordPress a base de probar contraseñas para iniciar sesión.
Si tenemos una buena contraseña, en teoría no tendríamos que preocuparnos por esto, pero… en la práctica un ataque de fuerza bruta contra el login de WordPress puede provocar un consumo de recursos muy alto de PHP y en el motor de base de datos MySQL, que a su vez afectará a todas las instalaciones WordPress alojadas en el servidor o plan de hosting.
Por esta razón, para proteger el wp-admin y wp-login.php de WordPress se suele usar un plugin de seguridad como Limit Login Attemps Reloaded o WP Cerber. Incluso podemos utilizar sistemas a nivel servidor como fail2ban, mucho más eficientes que un plugin, para realizar estos bloqueos.
Mediante estas técnicas de protección del login de WordPress se bloquean las direcciones IP de los usuarios que prueban a entrar al wp-admin o wp-login.php varias veces sin conseguirlo, debido a que los datos de usuario y contraseña introducidos son erróneos.
Normalmente, en un sitio web en producción, el simple hecho de bloquear estas peticiones suele bajar el consumo de recursos de PHP y MySQL en el hosting.
Otra forma de proteger el acceso al wp-admin de WordPress es cambiar la URL directamente para que los bots que hacen ataques por fuerza bruta no encuentren el login de WordPress y no puedan probar combinaciones de usuario y contraseña. Precisamente esto es lo que vamos a ver en la siguiente sección.
Personalmente, hoy por hoy te recomiendo WP Cerber si quieres reforzar toda la seguridad de WordPress. En caso de que solo quieras implementar el bloqueo de ataques por fuerza bruta, te recomiendo usar Limit Login Attemps Reloaded.
Cambiar el wp-admin y wp-login.php
Como hemos dicho en la sección anterior, si los bots no son capaces de encontrar el panel de administración de WordPress, directamente no podrán atacar.
Cuando se entra a la carpeta wp-admin se hace una redirección a wp-login.php. Entonces, para cambiar la URL de acceso a WordPress lo que se hace es eliminar la redirección de wp-admin a la nueva URL y se cambia el slug del wp-login.php para que, si no la conoces, no puedas acceder al dashboard.
Existen distintos plugins gratuitos y de pago para realizar este cambio. Incluso hay plugins para WordPress que tienen otra finalidad, pero que también integran esta, ya que es muy básica.
Yo, para implementar esto, normalmente utilizo el plugin Change wp-admin login. Como indica su nombre, su funcionalidad principal es cambiar la URL de acceso al admin de WordPress, concretamente al wp-admin y wp-login.php.
Existen otros muchos plugins, como Perfmatters, que nos permiten cambiar la URL de inicio de sesión en WordPress a pesar de que no son específicamente para eso.
Recuperar la contraseña del wp-admin o wp-login.php
En ocasiones, puede que abandonemos temporalmente nuestras instalaciones WordPress y que cuando volvamos a ellas no nos acordemos del acceso como admin.
En ese caso, WordPress no es un SaaS, siempre podremos resetear la contraseña de una forma o de otra, aunque ya te aviso que será imposible saber cuál era la contraseña anterior, ya que está cifrada y no podemos verla.
Hay dos caminos para recuperar la contraseña de nuestro WordPress:
- Si conocemos el correo electrónico de nuestra cuenta: Utilizar el típico enlace de «Recuperar contraseña» de la página de login de WordPress, que nos enviará un correo electrónico con un enlace para resetear la contraseña.
- Si NO conocemos el correo electrónico de nuestra cuenta: Entrar con phpMyAdmin a la base de datos de nuestro WordPress usando el panel de control de nuestro hosting y modificar la contraseña del usuario elegido cambiando a «tipo MD5» antes de guardar, con el objetivo de que la guarde encriptada en MD5.
Si quieres aprender a entrar forzando la contraseña al wp-admin con phpMyAdmin, te dejo el siguiente GIF que he creado para ti.
Existe un tercer método para entrar a nuestra página web WordPress, pero a mí personalmente no me gusta demasiado, ya que puede traer otras implicaciones. Por si te interesa, te dejo un vídeo de demostración:
En este último vídeo, se trata de entrar por FTP y modificar el archivo functions.php del theme activo de WordPress para crear un usuario con un tweak de un solo uso y hacer login con ese usuario en WordPress para poder entrar y modificar la contraseña de usuario.
Acceder sin contraseña al wp-admin o wp-login.php
Tengo que reconocer que soy fan de sistemas que me permiten acceder sin contraseña al panel de administración de los CMS que uso.
Normalmente, utilizo el Installatron de los planes de hosting de Raiola Networks para iniciar sesión en WordPress como admin sin necesidad de tener el usuario y la contraseña.
Si buscas un hosting con Installatron, te recomiendo nuestros planes de hosting, ya que ofrecemos Installatron como autoinstalador y gestor de CMS.
Pero Installatron no es el único sistema que permite iniciar sesión en WordPress sin necesidad de usar la contraseña: también está InfiniteWP, por ejemplo.
InfiniteWP es un sistema de gestión centralizada de WordPress que permite hacer login en WordPress sin password. Además, podremos iniciar sesión en varios WordPress al mismo tiempo y trabajar con distintos sitios web usando un panel intuitivo y centralizado.
No me voy a extender hablando de InfiniteWP y lo que puede hacer por la mayoría de los desarrolladores web, ya que hacer login en WordPress sin contraseña no es su única funcionalidad y si me pongo a hablar de esto tendría contenido para un post completo y largo.
ME SALE ESTO AL TRATAR DE INGRESAR.. No se ha podido encontrar la dirección IP del servidor de www. mi sitio.com
Hola, Cristián:
ese error indica que tu dominio tiene una configuración DNS incorrecta o que éste no está propagándose.
Revisa la configuración DNS y asegúrate de que el dominio no está caducado ni suspendido.
Un saludo.
Hola Alvaro, disculpa la consulta tengo un inconveniente con este tema. Ya borre temas (deje solo uno) y plugins recien instalados. Asi mismo revise y edite tras varias recomendaciones mi archivo wp_login.php y aun sigue sin aparecer el inicio de wp-admin para iniciar sesion, que crees que puede ser???
https://uploads.disquscdn.c…
Hola, Joel:
parece que tienes algún problema para cargar el fichero de login .¿Puedes decirnos qué modificaciones has hecho en el «wp-login.php» exactamente?. En cualquiera de los casos te recomiendo que primeramente reviertas esos cambios y dejes el archivo «wp-login.php» original, así como cualquier otro archivo del core de WordPress que hayas tocado.
Un saludo.
Buenas tardes
Mi inquietud es?
mi dominioejemplo.com
dentro de mi dominio quiero ingresar 3 dominios
entonces al ingresar el index que contiene el incio de los 3 subdominios en la raiz y crear 3 carpetas diferentes
subdominio1, subdominio2, subdominio3
al ingresar al .
me dice que no existe
tendria que hacer alguna otra configutacion en el wp-admin
para poder ingresar administrar la pagina
Hola, Marco:
asegúrate de que:
– El dominio apunta a la carpeta superior a cada uno de los sitios.
– Asegúrate de que dicha carpeta no tiene un .htaccess que pueda dar conflictos con el redireccionamiento.
– Revisa que tengas correctamente configurados los «enlaces permanentes» en cada uno de los sitios que tienen su propia carpeta.
Cualquier cosa nos dices.
Un saludo.
Hola Alvaro!
No puedo acceder a mi cuenta WordPress como administrador, me dice que mi contrasena o usuario es incorrecto pero no he cambiado nada ni le he hecho modificaciones a mi cuenta 🙁 ! que error sera ese, ayuda!
Hola María:
asegúrate de que el usuario que escribes es correcto (¡a veces el fallo es ese!).
Si el problema persiste prueba a utilizar la opción «olvidé mi contraseña»; con ella se te enviará un correo para recuperarla.
Si esto falla la única opción que nos queda implica cambiar la contraseña en la base de datos de WordPress. En este caso te recomiendo que pidas ayuda a tu proveedor si no estás familiarizada con el proceso.
¡Un saludo!
Hola!!
Hace dos años, creé una pagina web con wordpress y luego la ubiqué en un hosting ajeno en el que se permitía webs wordpress. Hasta hace bien poco, para acceder a la edición y realizar cambios utilizaba la siguiente dirección: misitioweb.com/wp-admin , entraba usuario y contraseña y modificada datos, añadía fotos etc…. Hace unas semanas intenté entrar y me dice el navegador que se ha redireccionado la página varias veces y que no se puede acceder a esa dirección. Ya no se que hacer… Algún consejo/solución.
Muchas gracias!
Hola Jordi, pues…que algún plugin se ha actualizado o algo ha pasado y…vas a tener que entrar por FTP y hacer un proceso de solución de errores: https://alvarofontela.com/solucion-problemas-errores-wordpress/