¿Qué es el wp-admin?
El fichero «wp-admin» es la carpeta necesaria para acceder al panel de administración interno o «backend» de un WordPress. Y para que éste funcione, ésta no se debe modificar o eliminar. Ni esta carpeta ni ningún archivo que este contenido en ella. Simplemente se deja por defecto.
Por lo tanto y una vez hecha esta breve introducción, he de decirte que esta carpeta en sí contiene archivos internos (scripts y librerías) y ningún archivo de configuración o dinámico.
En caso de dañar o modificar esta carpeta, lo recomendable será descargarse la última versión de WordPress y reemplazar la carpeta wp-admin nativa por la dañada vía FTP. Así de simple.
¿Para qué sirve exactamente el wp-admin?
Antes de hablar sobre para qué sirve este fichero, es importante ver cuáles son las tres (o mejor dicho 4) patas fundamentales de WordPress, desde el punto de vista técnico.
Estas son:
- La carpeta wp-admin. La más famosa de ellas (de ahí el título del post) pero no la más relevante, pese a que a priori debería de ser así.
- La base de datos. No voy a meterme en terreno pantanoso en este aspecto pero como ya sabrás WordPress clasifica y almacena todo lo que escribes y configuras en su base de datos para posteriormente mostrarlo.
- La carpeta wp-content. La carpeta fundamental en el desarrollo y funcionamiento de este CMS, ya que contiene los themes, los plugins, las imágenes.
- La carpeta wp-includes. Esta carpeta contiene los archivos que necesita WordPress para su funcionamiento en sí y la de su API. Además, contiene las librerías principales de WordPress por lo que no es se encuentran en esta carpeta que tampoco se modifica nunca.
Por este motivo, he querido brindar la oportunidad de contarte todo lo que necesitas sobre este término a Borja Aranda, el cual te ayudará a que entiendas cómo asegurarlo contra posibles amenazas.
Estoy seguro de que, una vez termines de leer este post, tendrás mucho más claros varios algunos conceptos.
Como por ejemplo:
- Cual es la forma de proceder de WordPress para el ingreso al backend de la plataforma.
- Las posibilidades que tiene los hackers de acceder a tu página web y bloquearla.
- La importancia de no automatizar procesos como la instalación de WordPress en un hosting mediante el famoso botón “One click”.
- Lo realmente importante que es la codificación de código en los accesos a un gestor de contenido.
¿Cómo puedo acceder a mi propio wp-admin?
Cualquier persona con conocimientos básicos de WP te diría que para acceder al administración y hacer login, solo habría que introducir la siguiente URL en tu navegador:
https://tudominio.com/wp-admin
De hecho, esta es la forma básica para saber si una página web está diseñada en este CMS.
No obstante, esto a nivel técnico no es correcto, ya que cuando tu accedes a tudominio.com/wp-admin, automáticamente WordPress realiza una redirección a URL parametriza del tipo:
Es decir, cuando accedes a /wp-admin, WordPress te redirige automáticamente al login de este sistema (wp-login) y ahí ya puedes acceder al panel de administración, introduciendo tu usuario y contraseña.
¿Hay diferencias entre wp-admin y wp-login? ¿Cuáles?
Básicamente, la diferencia que existe entre wp-admin y wp-login es que el primero es una carpeta estática, mientras que el segundo es un archivo dinámico (con extensión .php), que se encarga de mostrarte un formulario de acceso.
Pese a que el primero es fundamental para el funcionamiento del WP, el segundo realmente hace una labor más “visible”.
Por este motivo, al escribir tu URL con wp-admin o con wp-login, la URL de destino será la misma, una parametrizada (con base en el login) para el acceso al panel de control del gestor de contenidos.
¿Cómo mejorar la seguridad del wp-login y del wp-admin de mi WordPress?
Si has llegado hasta este punto, enhorabuena, ya que por fin comprendes un poco más el funcionamiento de este CMS. Por ello, teniendo en cuenta todo lo dicho hasta ahora, ya no te será complicado entender los procesos para mejorar la seguridad en tu WordPress.
Para ello, podrás optar por alguna de estas medidas (o por todas). Todo dependerá del grado de seguridad que quieras en este acceso. ¡Vamos con ello!
1º Utilizar contraseñas difíciles y prescindir de instalaciones automáticas. Ejemplos + caso práctico.
Cómo supondrás, esta técnica es un grave error y en la mayoría de los casos se produce por:
- Demasiada prisa como para pensar una buena contraseña y utilizar la primera que se viene a la cabeza pensando en modificarla luego (cosa que luego no ocurre).
- Utilizar las apps de “Instalación de WP en One click” que tantos proveedores de servicios de hosting utilizan. Esto genera por defecto un usuario admin que, pese a que la contraseña sea fuerte, el usuario puede ser un punto de entrada.
- Dar a todo que sí por defecto, sin leer detenidamente cada paso al realizar la instalación de una página Web.
Por este motivo, se recomienda tanto utilizar un usuario “raro” y complejo, como utilizar una contraseña difícil de rastrear con caracteres raros (la que genera por defecto este sistema es perfecta, aunque difícil de recordar).
De todos modos, si quieres ideas para generar contraseñas complicadas puedes acceder a multitud de portales gratuitos que te generan este tipo de contraseñas gratis (si no te fías de la que viene por defecto en WP) como «clavesegura.org».
Por otro lado, y pese a que WP encripta toda su información sensible en la base de datos, también se recomienda utilizar un nombre raro que mezcle mayúsculas, minúsculas y números.
2º Obligar a redactar contraseñas fuertes
Para evitar problemas como los anteriores, puedes obligar a que el registro de usuarios en tu página web implique el uso de contraseñas fuertes.
Bien es cierto que no hay nada seguro en internet pero al menos le quitarás incentivos al hacker para atacarte.
Para llevar a cabo este paso no quedará más remedio que tocar código dentro de tu archivo funtions.php de WordPress. Por este motivo te dejo este tutorial paso a paso para hacerlo.
De todos modos, por defecto, si escribes una contraseña fácil de primeras el propio WP te advertirá de ello y tendrás que hacer click en un checkbox para confirmar el uso de esa contraseña débil.
3º Cambiar la URL de acceso
Este paso es muy fácil y útil para evitar que la gente sepa fácilmente que utilizas este CMS y para evitar posibles hackeos.
Para cambiar la URL de acceso a tu WP y que ésta no sea «/wp-admin» o «/wp-login», bastará con instalar el plugin WPS Hide Login.
En este plugin simplemente deberás indicar cómo quieres que sea el slug del nuevo acceso a tu WordPress y en dos clicks estará todo listo.
4º «Capar» el acceso a extraños por IP
Lo primero de todo es que, para llevar a cabo este proceso será conocer tu IP. Para ello existen diferentes páginas web como esta: cualesmiip.com
Una IP es algo así como una identificación que tu tienes en internet. Por lo tanto, con este paso lo que conseguirás será bloquear a todas las IPs que no sean la tuya.
Es decir, que solo podrás acceder a tu WordPress desde ese ordenador y esa IP, el resto quedarán bloqueadas.
Esta opción es muy drástica e incluso peligrosa por lo que no la recomiendo utilizar salvo que no quede otro remedio.
Finalmente, donde se encuentran las X, tendrás que sustituirlas por tu IP para bloquear al resto de intrusos.
5º Limitar el número de pruebas de contraseña en el login
Una forma que tienen los hackers de hacerse con el acceso a tu WordPress en mediante fuerza bruta. Es decir, realizar miles y miles de pruebas hasta conseguir tu contraseña.
Este es un método poco común, pero que a veces funciona si la contraseña es demasiado débil.
Por lo tanto, una forma de evitar este tipo de ataque será limitar el número de intentos para acceder al panel de control hasta X número en X tiempo.
Para ello, lo mejor será optar por un plugin generalista de seguridad tipo All In One WP Security & Firewall u otros más específicos como Login LockDown.
Con estos plugins, podrás controlar el número de intentos que se podrán realizar en el login de tu WordPress antes de que te bloqueen.
6º Realizar una verificación en dos pasos
Este tipo de proceso de seguridad es el que usan empresas como Google o Facebook para asegurar la propiedad de una cuenta.
Mediante una verificación en dos pasos, consigues que alguien que por cualquier vía se ha hecho con tu contraseña no acceda a tu cuenta, salvo que tenga tu móvil por ejemplo.
Al activar esta verificación en dos pasos (pese a que a nivel usuario es un aburrimiento), conseguirás que tu seguridad web mejore sustancialmente.
Para llevar a cabo esta verificación en dos pasos lo mejor será utilizar el plugin WP 2-step verification.