Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Copa WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

14 consejos vitales para proteger su área de administrador de WordPress (actualizado)

¿Está buscando formas de proteger su área de administrador de WordPress?

Proteger el área de administrador de accesos no autorizados le permite bloquear muchas amenazas de seguridad comunes. Esto puede ser útil si estás viendo muchos ataques en tu sitio web WordPress.

En este tutorial, le mostraremos algunos de los consejos vitales y hacks para proteger su área de administrador de WordPress.

Tips and hacks to protect WordPress admin area

Abarcaremos muchos consejos, y puede utilizar los enlaces rápidos que aparecen a continuación para saltar de uno a otro:

1. Utilice un cortafuegos

Un cortafuegos supervisa el tráfico del sitio web y bloquea las solicitudes sospechosas.

Aunque existen varios plugins de firewall para WordPress, como Wordfence, te recomendamos que utilices Sucuri. Es un servicio de seguridad y monitorización de sitios web que ofrece un cortafuegos basado en la nube para proteger tu sitio web.

Website Application Firewall

Todo el tráfico de su sitio web pasa primero por el proxy en la nube Sucuri, que analiza cada solicitud y bloquea las sospechosas para que nunca lleguen a su sitio web. Esto previene su sitio web de posibles intentos de hacking, phishing, malware y otras actividades maliciosas.

Otra gran opción es Cloudflare, que es lo que usamos ahora en WPBeginner. Para más detalles, consulta nuestro artículo sobre por qué cambiamos de Sucuri a Cloudflare.

2. Proteger con contraseña el directorio de administración de WordPress

Su área de administrador de WordPress ya está protegida por su contraseña de WordPress. Sin embargo, añadir la protección de contraseña a su directorio de administrador de WordPress añade otra capa de seguridad a su página de acceso / acceso.

En primer lugar, debe acceder al panel de control del cPanel de su alojamiento web de WordPress y, a continuación, hacer clic en el icono “Proteger directorios con contraseña” o “Privacidad de directorios”.

Directory privacy

A continuación, tendrá que seleccionar su carpeta wp-admin, que normalmente se encuentra dentro del directorio /public_html/.

En la siguiente pantalla, debe marcar la casilla situada junto a la opción “Proteger este directorio con contraseña” y proporcionar un nombre para el directorio protegido.

Después, haz clic en el botón “Guardar” para establecer los permisos.

Password protect directory settings

A continuación, pulse el botón “Atrás” y cree un usuario. Se le pedirá que proporcione un nombre de usuario/contraseña y, a continuación, haga clic en el botón “Guardar”.

Ahora, cuando alguien intente visitar el directorio del administrador de WordPress o wp-admin en su sitio web, se le pedirá que introduzca el nombre de usuario y la contraseña.

Enter password

Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo proteger con contraseña el directorio del administrador de WordPress (wp-admin).

3. Utilice siempre contraseñas seguras

Always use strong passwords

Utilice siempre contraseñas seguras para todas sus cuentas en línea, incluido su sitio de WordPress. Le recomendamos que utilice una combinación de letras, números y caracteres especiales en sus contraseñas. De este modo, a los hackers les resultará más difícil adivinarla.

Los principiantes nos preguntan a menudo cómo recordar todas esas contraseñas. La respuesta más sencilla es que no hace falta. Hay algunas aplicaciones de gestión de contraseñas realmente fantásticas que puedes instalar en tu ordenador y en tu teléfono.

Para más información sobre este debate, consulte nuestra guía sobre la mejor forma de gestionar contraseñas para principiantes en WordPress.

4. Utilice la verificación en dos pasos en la pantalla de inicio de sesión de WordPress

WordPress login screen with Google Authenticator enabled

La verificación en dos pasos, también conocida como verificación de dos factores, autenticación de dos factores o 2FA, añade otra capa de seguridad a tus contraseñas. En lugar de utilizar solo la contraseña, te pide que introduzcas un código de verificación generado por la aplicación Google Authenticator de tu teléfono.

Incluso si alguien es capaz de adivinar tu contraseña de WordPress, necesitará el código del Autenticador de Google para acceder.

Para obtener instrucciones detalladas paso a paso, consulte nuestra guía práctica sobre cómo establecer la verificación en dos pasos en WordPress mediante Google Authenticator.

5. Limitar los intentos de acceder / acceso

Limit login attempts

Por defecto, WordPress permite a los usuarios introducir contraseñas tantas veces como quieran. Esto significa que alguien puede seguir intentando adivinar su contraseña de WordPress introduciendo diferentes combinaciones. También permite a los hackers utilizar scripts automatizados para descifrar contraseñas.

Para corregir esto, necesitas instalar y activar el plugin Limit Login Attempts Reloaded. Tras activarlo, visita la página Configuración ” Bloqueo de inicio de sesión para establecer los ajustes del plugin.

Para obtener instrucciones detalladas, consulte nuestra guía sobre por qué debe limitar los intentos de acceso en WordPress. Para saber más acerca del plugin, también puedes marcar / comprobar nuestra detallada reseña sobre Limitar los intentos de acceso.

6. Limitar acceso / acceso a direcciones IP

Otra buena forma de asegurar el acceso / acceso a WordPress es limitando el acceso a direcciones IP específicas. Este consejo es especialmente útil si usted o unos pocos usuarios de confianza necesitan acceder al área de administrador.

Simplemente añada este código a su archivo .htaccess:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

No olvides sustituir los valores xx por tu propia dirección IP. Si utilizas más de una dirección IP para acceder a Internet, asegúrate de añadirlas también.

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo limitar el acceso al administrador de WordPress mediante .htaccess.

7. Desactivar las sugerencias para acceder / acceder

Disabled login hints

En un intento fallido de acceder / acceso, WordPress muestra errores que indican a los usuarios si su nombre de usuario era incorrecto o la contraseña. Estas pistas de acceso pueden ser utilizadas por alguien para intentos malintencionados como ataques de fuerza bruta.

Puede ocultar fácilmente estas pistas de acceso añadiendo el siguiente código al archivo functions. php de su tema o utilizando un plugin de fragmentos de código como WPCode (recomendado):

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Para más detalles, consulte nuestra guía sobre cómo añadir código personalizado en WordPress sin romper su sitio web.

8. Exija a los usuarios que utilicen contraseñas seguras

Si tienes un sitio WordPress con varios autores, entonces esos usuarios pueden editar sus cuentas de usuario y utilizar una contraseña débil. Estas contraseñas pueden ser descifradas y dar a alguien acceso al área de administrador de WordPress.

Para solucionarlo, puedes instalar y activar el plugin SolidWP. Después, puedes seguir los pasos de nuestra guía completa sobre cómo forzar contraseñas seguras a los usuarios en WordPress.

9. Restablecer contraseña para todos los usuarios

¿Te preocupa la seguridad de las contraseñas en tu sitio WordPress multiusuario? Puedes pedir fácilmente a todos tus usuarios que restablezcan sus contraseñas.

En primer lugar, debes instalar y activar el plugin de restablecimiento de contraseñas de emergencia. Una vez activado, vaya a la página Usuarios ” Restablecer contraseña de emergencia y haga clic en el botón “Restablecer todas las contraseñas”.

Reset all passwords

Para obtener instrucciones detalladas, consulte nuestra guía sobre cómo restablecer las contraseñas de todos los usuarios en WordPress.

10. Mantener actualizado WordPress

WordPress lanza con frecuencia nuevas versiones de software. Cada nueva versión del núcleo de WordPress contiene importantes correcciones de errores, nuevas funciones y correcciones de seguridad.

Utilizar una versión antigua de WordPress en su sitio le deja expuesto a exploits conocidos y vulnerabilidades potenciales. Para corregirlo, debe asegurarse de que utiliza la última versión de WordPress.

Para más información sobre este debate, consulte nuestra guía sobre por qué debe utilizar siempre la última versión de WordPress.

Del mismo modo, los plugins de WordPress también se actualizan a menudo para introducir nuevas características o corregir problemas de seguridad y de otro tipo. Asegúrate de que tus plugins de WordPress también están actualizados.

Nota: ¿Prefiere dejar el mantenimiento de WordPress en manos de profesionales? Nuestros servicios de mantenimiento WPBeginner pueden encargarse de todo, desde actualizaciones hasta eliminación de malware, para que usted solo tenga que centrarse en hacer funcionar su sitio web.

11. Crear páginas personalizadas de acceso / registro

Muchos sitios de WordPress requieren que los usuarios se registren. Por ejemplo, los sitios de membresía, los sitios de gestión de aprendizaje y las tiendas en línea necesitan que los usuarios creen una cuenta.

Sin embargo, estos usuarios pueden utilizar sus cuentas para acceder al área de administrador de WordPress. Esto no es un gran problema, ya que solo podrán hacer cosas permitidas por su perfil de usuario y capacidades.

Sin embargo, le impide limitar adecuadamente el acceso a las páginas de acceso y registro, ya que necesita esas páginas para que los usuarios se registren, gestionen sus perfiles y se conecten.

La forma más fácil de corregirlo es crear páginas de acceso y registro personalizadas para que los usuarios puedan registrarse y acceder directamente desde su sitio web.

Para obtener instrucciones detalladas paso a paso, consulte nuestra guía sobre cómo crear páginas de acceso / registro personalizadas en WordPress.

12. Acerca de los perfiles y permisos de usuario en WordPress

WordPress viene con un potente sistema de gestión de usuarios con diferentes perfiles y capacidades. Cuando añada un nuevo usuario a su sitio WordPress, puede seleccionar un perfil de usuario para él. Este perfil define lo que el usuario puede hacer en su sitio WordPress.

Asignar perfiles de usuario incorrectos puede dar a la gente más capacidades de las que necesitan. Para evitar esto, es necesario entender qué capacidades vienen con diferentes perfiles de usuario en WordPress.

Para más información sobre este debate, consulte nuestra guía para principiantes sobre perfiles y permisos de usuario en WordPress.

13. Limitar el acceso al Escritorio de WordPress

Algunos sitios WordPress tienen ciertos usuarios que necesitan acceso al escritorio y otros que no. Sin embargo, por defecto, todos ellos pueden acceder al área de administrador.

Para corregir esto, necesita instalar y activar el plugin Quitar / Eliminar el Acceso al Escritorio. Una vez activado, vaya a la página Ajustes ” Acceso al Escritorio y seleccione los perfiles de usuario que tendrán acceso al área de administrador de su sitio.

Para obtener instrucciones más detalladas, consulte nuestra guía sobre cómo limitar el acceso al panel de control en WordPress.

14. Salir Usuarios inactivos

Idle user logout

WordPress no desconecta automáticamente a los usuarios hasta que éstos explícitamente cierran la sesión o la ventana de su navegador. Esto puede ser un problema para los sitios de WordPress con información confidencial. Por eso, los sitios web y las aplicaciones de instituciones financieras desconectan automáticamente a los usuarios que no han estado activos.

Para corregir esto, puedes instalar y activar el plugin Cierre de sesión inactivo. Una vez activado, vaya a la página Ajustes “ Cierre de sesión inactivo e introduzca el tiempo tras el cual desea que los usuarios sean desconectados automáticamente.

Para más detalles, consulte nuestro artículo sobre cómo salir automáticamente de los usuarios inactivos en WordPress.

Esperamos que este artículo te haya ayudado a aprender nuevos trucos y consejos para proteger tu área de administrador de WordPress. También puedes consultar nuestra guía de seguridad de WordPress paso a paso para principiantes y nuestra selección de los mejores plugins de seguridad para WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Descargo: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPBeginner , por qué es importante, y cómo puede apoyarnos. Aquí está nuestro proceso editorial .

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

El último kit de herramientas de WordPress

Obtenga acceso GRATUITO a nuestro kit de herramientas - una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Reader Interactions

133 comentariosDeja una respuesta

  1. Moinuddin Waheed

    Must have tips and tricks for protection of WordPress admin dashboard.
    I have used two factor authentication for admin login and also the login limits for admin access.
    dashboard protection is of utmost importance as it can have serious repurcussions if dashboard gets compromised.
    I didn’t know that we can have these much steps to protect our dashboard.
    Thanks for the exhaustive lists of tips for dashboard protection.

    • WPBeginner Support

      Glad to hear you found our list helpful!

      Administrador

  2. Theo

    “This plugin has been closed as of November 23, 2020 and is not available for download. This closure is permanent.”

    I know that this is a 3 and a half years old article!

    It would be nice if someone could suggest an alternative! Thank you for your time!

    • WPBeginner Support

      We will certainly take a look at alternatives.

      Administrador

  3. Raksa Sav

    If I add someone as an administrator of WordPress, can they remove from administrator or stole my WordPress site?

  4. Muchsin

    I want to ask
    I have tried the tutorial directory privacy on this article and it runs smoothly but there is one problem that is when I try the search feature located in the navigation menu on my website as a user and always asked to fill in the username and password of that directory. Then how do I solve the problem?
    I use the newspaper theme from tagdiv.

  5. sherizon

    what is the best advice in starting up an eceommerce website can i use wordpress?

  6. Brenda Donovan

    Good hints and tips here. Does is matter where in the functions.php file one puts the block hints script? Just add it to the bottom?

  7. Joe

    Another really helpful means of protecting your WP site is to use a login that is NOT ADMIN and not your email address. Use a unique login name like WP@#% or something crazy like that.

  8. Dragos

    You should also change where you install the default folder of wp-admin.

  9. Abhinav S Thakur

    Can anyone fix this?
    How shall I force SSL only for admin and rest of the site should be http.
    Like wp beginner has non SSL site!
    Running wordpress, cPanel

  10. Pinkey

    Hi,

    I just started a content based website and unfortunately my site got hacked. Please advice us with suitable solutions (software/certificates etc) to avoid any future hacks being done.

    Thanks & best Regards,

    Pinkey

  11. Lucy Barret

    The tips that you added are so helpful. But for securing WordPress, you need to give more emphasis to the security of your login area. You need to pay more attention on strengthening your admin login area.

  12. John

    Any idea why deleting wp-login.php does not prevent brute force attacks? I thought it was a quick fix for a site that only requires my login, therefore only replace the file when needed?

    Help please!

  13. Craig

    Great advice apart from the removal of admin messages, if you’re lessening the user experience because of security then you’re not doing it right.

  14. Talha

    Thanks a lot. I have a website . I will set up there.

  15. Pat Fortino

    This plugin no longer exists: Stealth Login

    Can you recommend an alternative?

    Thanks

  16. Lori

    I’ve also been told to “remove links to the admin page from the site so that the hacking robots can’t just follow a link.” I’m not sure what this means, or how I would do it… Anyone know what this means and could point me to step-by-step directions to do so?

    (I don’t see links to an admin page anywhere on my website, nor do I remember there ever being any. The only way I access the admin page is by going to the /wp-admin address.)

  17. Emily Johns

    Great information!

    For non expert bloggers and coders, I suggest installing a WordPress plugin, to make things easier.
    From the ones you mentioned, I found “Wordfence Security” plugin a free solution to secure blogs and make them faster.
    Tested and happy with it!

  18. Barry Richardson

    I was under the impression that the original username (e.g. “admin”) of a WP site cannot be deleted, so even if we did add a new username, the original “admin” would still be available for a potential hacker to exploit.

    • WPBeginner Support

      If you create a new user account with the administrator role, then you can safely delete admin user.

      Administrador

  19. Sandeep Jinagal

    Hyy WPBeginner first of All u are Doing Best OF Best???
    And m want to Know m Want to Set my login Page Like urs. bcoz when m trying to open ur login page. it shows a popup for login. can u give me that tool.

  20. Kheti

    Thanks for this educative material. Very helpful. Thanks for the good work and support.

  21. ifaheem

    great article but needs to be updated. There are a few great plugins which do all of the above task by one plugin install!

    My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin :(

    After performing above steps (update them by some research), feeling secure a little.

    Don’t Install a plugin without reading Min. of 5 reviews. They tell you the truth (Go for a bad review and see what he/she says; they have suffered something bad!

  22. Prince Jain

    Thank you for such a great post. :)

    But please update that Stealth Login Plugin do not create customize URL for Login Window, instead it add up an authorization code below username and password at login window of Wordpress.
    Also can you please suggest a plugin to create custom URL for login window.

  23. Mitchell Miller

    Stealth Login was removed from WP Plugin repository.

    But changing wp-login.php link is the first step to protecting a WordPress site.

  24. laya rappaport

    What happens when you give your login details to someone to work on your website and they change the login details so you can no longer access your word press account?

    • James Campbell

      I’m not sure if there’s a way for you to retrieve your sites information necessarily, but if you’re able to, always create a new user and give other people access through that particular user. This allows you to restrict access to certain areas and you can also delete their access when it’s no longer needed. Giving up your access to your site let’s them block you out.

  25. user4574

    One other helpful item not mentioned is database permissions. The Wordpress db user generally doesn’t need to be granted all permissions. In the vast majority of cases it only needs ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.

    So if you’re doing it directly in mysql, it would be:
    GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;

    If doing it in cPanel or whatnot, just tick the appropriate boxes when granting permissions to the db_user.

  26. Tanmoy Das

    Awesome tips for any newbie ! I want to always change the login URL but dont know how to do it. Thanks for those tips.

  27. Derick

    @Daniel: Hackers now have a tool that enumerates/lists all your usernames including the roles of these, so doing that would not trick the hacker at all.

  28. Thorir

    Just installed the Limit Login Attempts plugin on my WP sites. On one of it I almost instantly noticed a lock out, it was also the only install that was in root. All the others are in a subdirectory and several hours later none of them have registered a lock out.

    Perhaps this is a helpful factor, security wise?

  29. Mary

    Hello, I hope you are well!
    This was a great article but a little complicated for me.

    because I need the easy way right now, the wordpress firewall plugin looked good but

    my fear is losing my login page.
    I have spent a long time trying to work with FTP and have not been able to understand it.

    Will this be a good plugin for a scaredy cat?? Thanks Mary

  30. Ed van Dun

    And what about Bullet Proof Security? It covers some area’s mentioned above and quite a few more.

  31. Prodip

    All of the above tips helped me to make my blog with more secured.

  32. Dr. Sean Mullen

    This is great info but Please update! Thanks

  33. Guest

    I know this article is from way back in ’09, but can you do an updated one, since a lot of these plugins are no longer “officially” compatible with the latest WordPress (3.4.x-3.5)?

    • Editorial Staff

      Yes, it is in the works along with few other things. We are doing the best we can. Thanks for letting us know.

      Administrador

  34. whoiscarrus

    Just really getting into WP development and can’t say thank you enough! These are great for beggin’n folk like myself!

  35. Bigdrobek

    Great turitorial, but please can you update it?

    Few plug-ins is not exist, are old or are hidden by WordPress.org.

    – Stealth Login

    – Login Lockdown

    – Admin SSL

    I am interested in step 1)Create Custom Login Links – do you have tip for new plugin which do similar job?

  36. mattjwalk

    You could also add to the list, “use second factor authentication” instead of standard passwords. There is a new website authentication method https://www.shieldpass.com where you buy cheap access cards and then install the WordPress plugin. You then place your card onto the screen to see the dynamic login numbers instead of a static password. It is unique in also being able to encode transaction digits for mutual authentication which stops attackers man in the middle tactics, even one with access into your laptop or mobile.

  37. Jermaine

    The issue I have with No: 6 is dynamic ip address, you get locked out every time your ip address changes what the workaround?

  38. Daniel

    Hacker will think he is successful when he logs in with admin username and finds that the role has been set to ‘subscriber’. Isn’t this another form of added security. I don’t want to delete my admin because i put messages etc in forums and the blog and like my users to know that it’s from administration. as well as i use my regular username!

  39. Jonathan K. Cohen

    This article needs to be revisited. A number of the plugins suggested have not been maintained, and may be incompatible with the latest version of WP.

    These include #1, #3, and #5.

    • John

      For #1 ckeck this plugin called WPS Hide Login

    • Greg

      I completely agree with you. I’ve been using the Limit Login Attempts plugin for my WordPress for a while. Today this plugin is outdated. I’ve switched to WP Cerber:

Deja tu comentario

Gracias por elegir dejar un comentario. Tenga en cuenta que todos los comentarios son moderados de acuerdo con nuestros política de comentarios, y su dirección de correo electrónico NO será publicada. Por favor, NO utilice palabras clave en el campo de nombre. Tengamos una conversación personal y significativa.