WP-Admin, wp-login.php o cómo acceder a WordPress
Fecha:
25/11/2021
Creo que todo el mundo que trabaja con WordPress conoce el WP-ADMIN, ya que desde ahí podremos administrar todas las funcionalidades y características del sitio web.
Para acceder al panel de administración de WordPress, antes debemos acceder al login de WordPress a través de /wp-admin/ o /wp-login.php. En cualquiera de los dos casos, esto nos llevará directos al login de WordPress:
Si metemos en el navegador nuestro dominio seguido de /wp-admin, es decir, como si quisiéramos acceder a la carpeta wp-admin, automáticamente nos llevará a wp-login.php.
Como puedes ver en la captura anterior, aquí es donde debemos introducir nuestro usuario y contraseña de acceso al admin de WordPress.
Es normal que cualquier página web, independientemente de que sea un WordPress o no, disponga un de un panel de administración protegido por usuario y contraseña. Pero aquí vamos a centrarnos en WordPress y su login o acceso, además de mencionar al menos un plugin para cada acción.
El wp-admin y el wp-login.php son dos blancos comunes de los ataques de fuerza brutal que intentan adivinar la contraseña de acceso al dashboard de WordPress a base de probar contraseñas para iniciar sesión.
Si tenemos una buena contraseña, en teoría no tendríamos que preocuparnos por esto, pero... en la práctica un ataque de fuerza bruta contra el login de WordPress puede provocar un consumo de recursos muy alto de PHP y en el motor de base de datos MySQL, que a su vez afectará a todas las instalaciones WordPress alojadas en el servidor o plan de hosting.
Por esta razón, para proteger el wp-admin y wp-login.php de WordPress se suele usar un plugin de seguridad como Limit Login Attemps Reloaded o WP Cerber. Incluso podemos utilizar sistemas a nivel servidor como fail2ban, mucho más eficientes que un plugin, para realizar estos bloqueos.
Mediante estas técnicas de protección del login de WordPress se bloquean las direcciones IP de los usuarios que prueban a entrar al wp-admin o wp-login.php varias veces sin conseguirlo, debido a que los datos de usuario y contraseña introducidos son erróneos.
Normalmente, en un sitio web en producción, el simple hecho de bloquear estas peticiones suele bajar el consumo de recursos de PHP y MySQL en el hosting.
Otra forma de proteger el acceso al wp-admin de WordPress es cambiar la URL directamente para que los bots que hacen ataques por fuerza bruta no encuentren el login de WordPress y no puedan probar combinaciones de usuario y contraseña. Precisamente esto es lo que vamos a ver en la siguiente sección.
Personalmente, hoy por hoy te recomiendo WP Cerber si quieres reforzar toda la seguridad de WordPress. En caso de que solo quieras implementar el bloqueo de ataques por fuerza bruta, te recomiendo usar Limit Login Attemps Reloaded.
Como hemos dicho en la sección anterior, si los bots no son capaces de encontrar el panel de administración de WordPress, directamente no podrán atacar.
Cuando se entra a la carpeta wp-admin se hace una redirección a wp-login.php. Entonces, para cambiar la URL de acceso a WordPress lo que se hace es eliminar la redirección de wp-admin a la nueva URL y se cambia el slug del wp-login.php para que, si no la conoces, no puedas acceder al dashboard.
Existen distintos plugins gratuitos y de pago para realizar este cambio. Incluso hay plugins para WordPress que tienen otra finalidad, pero que también integran esta, ya que es muy básica.
Yo, para implementar esto, normalmente utilizo el plugin Change wp-admin login. Como indica su nombre, su funcionalidad principal es cambiar la URL de acceso al admin de WordPress, concretamente al wp-admin y wp-login.php.
Existen otros muchos plugins, como Perfmatters, que nos permiten cambiar la URL de inicio de sesión en WordPress a pesar de que no son específicamente para eso.
En ocasiones, puede que abandonemos temporalmente nuestras instalaciones WordPress y que cuando volvamos a ellas no nos acordemos del acceso como admin.
En ese caso, WordPress no es un SaaS, siempre podremos resetear la contraseña de una forma o de otra, aunque ya te aviso que será imposible saber cuál era la contraseña anterior, ya que está cifrada y no podemos verla.
Hay dos caminos para recuperar la contraseña de nuestro WordPress:
Si quieres aprender a entrar forzando la contraseña al wp-admin con phpMyAdmin, te dejo las siguientes capturas:
Seleccionamos la base de datos de nuestra instalación de WordPress.
Escoger "wp-users" y seleccionar editar en el usuario que queremos cambiar la contraseña.
Finalmente, como decíamos, marcamos la función "MD5" y actualizamos la contraseña para después guardar los cambios.
Existe un tercer método para entrar a nuestra página web WordPress, pero a mí personalmente no me gusta demasiado, ya que puede traer otras implicaciones. Por si te interesa, te dejo un vídeo de demostración:
En este último vídeo, se trata de entrar por FTP y modificar el archivo functions.php del theme activo de WordPress para crear un usuario con un tweak de un solo uso y hacer login con ese usuario en WordPress para poder entrar y modificar la contraseña de usuario.
Tengo que reconocer que soy fan de sistemas que me permiten acceder sin contraseña al panel de administración de los CMS que uso.
Normalmente, utilizo el Installatron de los planes de hosting de Raiola Networks para iniciar sesión en WordPress como admin sin necesidad de tener el usuario y la contraseña.
Si buscas un hosting con Installatron, te recomiendo nuestros planes de hosting, ya que ofrecemos Installatron como autoinstalador y gestor de CMS.
Pero Installatron no es el único sistema que permite iniciar sesión en WordPress sin necesidad de usar la contraseña: también está InfiniteWP, por ejemplo.
InfiniteWP es un sistema de gestión centralizada de WordPress que permite hacer login en WordPress sin password. Además, podremos iniciar sesión en varios WordPress al mismo tiempo y trabajar con distintos sitios web usando un panel intuitivo y centralizado.
No me voy a extender hablando de InfiniteWP y lo que puede hacer por la mayoría de los desarrolladores web, ya que hacer login en WordPress sin contraseña no es su única funcionalidad y si me pongo a hablar de esto tendría contenido para un post completo y largo.
Para acceder al panel de administración de WordPress, antes debemos acceder al login de WordPress a través de /wp-admin/ o /wp-login.php. En cualquiera de los dos casos, esto nos llevará directos al login de WordPress:
Si metemos en el navegador nuestro dominio seguido de /wp-admin, es decir, como si quisiéramos acceder a la carpeta wp-admin, automáticamente nos llevará a wp-login.php.
Como puedes ver en la captura anterior, aquí es donde debemos introducir nuestro usuario y contraseña de acceso al admin de WordPress.
Es normal que cualquier página web, independientemente de que sea un WordPress o no, disponga un de un panel de administración protegido por usuario y contraseña. Pero aquí vamos a centrarnos en WordPress y su login o acceso, además de mencionar al menos un plugin para cada acción.
Índice del artículo
- Proteger el wp-admin y wp-login.php
- Cambiar el wp-admin y wp-login.php
- Recuperar la contraseña del wp-admin o wp-login.php
- Acceder sin contraseña al wp-admin o wp-login.php
Proteger el wp-admin y wp-login.php
El wp-admin y el wp-login.php son dos blancos comunes de los ataques de fuerza brutal que intentan adivinar la contraseña de acceso al dashboard de WordPress a base de probar contraseñas para iniciar sesión.
Si tenemos una buena contraseña, en teoría no tendríamos que preocuparnos por esto, pero... en la práctica un ataque de fuerza bruta contra el login de WordPress puede provocar un consumo de recursos muy alto de PHP y en el motor de base de datos MySQL, que a su vez afectará a todas las instalaciones WordPress alojadas en el servidor o plan de hosting.
Por esta razón, para proteger el wp-admin y wp-login.php de WordPress se suele usar un plugin de seguridad como Limit Login Attemps Reloaded o WP Cerber. Incluso podemos utilizar sistemas a nivel servidor como fail2ban, mucho más eficientes que un plugin, para realizar estos bloqueos.
Mediante estas técnicas de protección del login de WordPress se bloquean las direcciones IP de los usuarios que prueban a entrar al wp-admin o wp-login.php varias veces sin conseguirlo, debido a que los datos de usuario y contraseña introducidos son erróneos.
Normalmente, en un sitio web en producción, el simple hecho de bloquear estas peticiones suele bajar el consumo de recursos de PHP y MySQL en el hosting.
Otra forma de proteger el acceso al wp-admin de WordPress es cambiar la URL directamente para que los bots que hacen ataques por fuerza bruta no encuentren el login de WordPress y no puedan probar combinaciones de usuario y contraseña. Precisamente esto es lo que vamos a ver en la siguiente sección.
Personalmente, hoy por hoy te recomiendo WP Cerber si quieres reforzar toda la seguridad de WordPress. En caso de que solo quieras implementar el bloqueo de ataques por fuerza bruta, te recomiendo usar Limit Login Attemps Reloaded.
Cambiar el wp-admin y wp-login.php
Como hemos dicho en la sección anterior, si los bots no son capaces de encontrar el panel de administración de WordPress, directamente no podrán atacar.
Cuando se entra a la carpeta wp-admin se hace una redirección a wp-login.php. Entonces, para cambiar la URL de acceso a WordPress lo que se hace es eliminar la redirección de wp-admin a la nueva URL y se cambia el slug del wp-login.php para que, si no la conoces, no puedas acceder al dashboard.
Existen distintos plugins gratuitos y de pago para realizar este cambio. Incluso hay plugins para WordPress que tienen otra finalidad, pero que también integran esta, ya que es muy básica.
Yo, para implementar esto, normalmente utilizo el plugin Change wp-admin login. Como indica su nombre, su funcionalidad principal es cambiar la URL de acceso al admin de WordPress, concretamente al wp-admin y wp-login.php.
Existen otros muchos plugins, como Perfmatters, que nos permiten cambiar la URL de inicio de sesión en WordPress a pesar de que no son específicamente para eso.
Recuperar la contraseña del wp-admin o wp-login.php
En ocasiones, puede que abandonemos temporalmente nuestras instalaciones WordPress y que cuando volvamos a ellas no nos acordemos del acceso como admin.
En ese caso, WordPress no es un SaaS, siempre podremos resetear la contraseña de una forma o de otra, aunque ya te aviso que será imposible saber cuál era la contraseña anterior, ya que está cifrada y no podemos verla.
Hay dos caminos para recuperar la contraseña de nuestro WordPress:
- Si conocemos el correo electrónico de nuestra cuenta: Utilizar el típico enlace de "Recuperar contraseña" de la página de login de WordPress, que nos enviará un correo electrónico con un enlace para resetear la contraseña.
- Si NO conocemos el correo electrónico de nuestra cuenta: Entrar con phpMyAdmin a la base de datos de nuestro WordPress usando el panel de control de nuestro hosting y modificar la contraseña del usuario elegido cambiando a "tipo MD5" antes de guardar, con el objetivo de que la guarde encriptada en MD5.
Si quieres aprender a entrar forzando la contraseña al wp-admin con phpMyAdmin, te dejo las siguientes capturas:
Seleccionamos la base de datos de nuestra instalación de WordPress.
Escoger "wp-users" y seleccionar editar en el usuario que queremos cambiar la contraseña.
Finalmente, como decíamos, marcamos la función "MD5" y actualizamos la contraseña para después guardar los cambios.
Existe un tercer método para entrar a nuestra página web WordPress, pero a mí personalmente no me gusta demasiado, ya que puede traer otras implicaciones. Por si te interesa, te dejo un vídeo de demostración:
En este último vídeo, se trata de entrar por FTP y modificar el archivo functions.php del theme activo de WordPress para crear un usuario con un tweak de un solo uso y hacer login con ese usuario en WordPress para poder entrar y modificar la contraseña de usuario.
Acceder sin contraseña al wp-admin o wp-login.php
Tengo que reconocer que soy fan de sistemas que me permiten acceder sin contraseña al panel de administración de los CMS que uso.
Normalmente, utilizo el Installatron de los planes de hosting de Raiola Networks para iniciar sesión en WordPress como admin sin necesidad de tener el usuario y la contraseña.
Si buscas un hosting con Installatron, te recomiendo nuestros planes de hosting, ya que ofrecemos Installatron como autoinstalador y gestor de CMS.
Pero Installatron no es el único sistema que permite iniciar sesión en WordPress sin necesidad de usar la contraseña: también está InfiniteWP, por ejemplo.
InfiniteWP es un sistema de gestión centralizada de WordPress que permite hacer login en WordPress sin password. Además, podremos iniciar sesión en varios WordPress al mismo tiempo y trabajar con distintos sitios web usando un panel intuitivo y centralizado.
No me voy a extender hablando de InfiniteWP y lo que puede hacer por la mayoría de los desarrolladores web, ya que hacer login en WordPress sin contraseña no es su única funcionalidad y si me pongo a hablar de esto tendría contenido para un post completo y largo.
Deja una respuesta
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *