wp-admin-y-wp-login-php

Qué son wp-admin y wp-login.php de WordPress

|

Actualizado el miércoles, 21 diciembre, 2022

En WordPress hay dos partes que son imprescindibles tanto para el acceso como para el funcionamiento de las webs creadas con el CMS: nos referimos a wp-admin y wp-login.php. Te contamos qué son y para qué sirven.

wp-admin-y-wp-login-php

Cuando quieres acceder al apartado de administración de tu WordPress es posible que utilices una URL terminada en /wp-admin o por el contrario, utilices otra terminada en /wp-login.php.

Si pruebas a acceder por ambas el resultado seguramente será igual, es por eso que a simple vista puede parecer que sirven para lo mismo, pero no. Te contamos qué son y sus diferencias a continuación.

¿Qué son wp-admin y wp-login.php?

Wp-admin es un directorio o carpeta que viene por defecto en WordPress y alberga diferentes archivos del backend necesarios para el funcionamiento del CMS.

La carpeta wp-admin se genera automáticamente al igual que otras como la de wp-content o la wp-includes, cuando instalas WordPress en tu directorio raíz.

Ni la carpeta wp-admin ni su código son editables. Se trata de una página estática con una serie de instrucciones que no necesitan ni deben ser modificadas por el usuario.

Es por eso que cuando tratas de acceder desde el navegador a /wp-admin (dominioejemplo.com/wp-admin) como tal, en realidad lo que hace WordPress es redirigirte a la página de login y ejecutar el archivo wp-login.php.

El archivo wp-login. php es lo que realmente ves cuando accedes a la carpeta /wp-admin.

Wp-login.php hace que te salga el formulario habitual para loguearte como usuario editor o administrador y así acceder a los paneles para gestionar la web.

Formulario de login de WordPress

Este archivo es crítico a nivel seguridad porque es el objetivo de muchos ataques malintencionados. Es por eso que te recomendamos realizar las siguientes acciones de seguridad para contrarrestar posibles hackeos y mantener tu web y hosting seguros.

Medidas de seguridad para proteger wp-admin y wp-login.php

Cambiar la URL de login

Una de nuestras recomendaciones básicas para securizar tu WordPress es que modifiques la URL de acceso al panel de gestión por una menos obvia. Es decir que en lugar de entrar al login a través de la URL /wp-admin o /wp-login.php la cambies por otra.

Para ello puedes utilizar el plugin WP hide login que permite modificar la URL fácilmente y personalizarla al gusto.

Limitar el número de accesos

Por defecto en WordPress el número de accesos a través del login no están limitados. Con los plugins WP limit login o Limit Login Attempst también podemos limitar los accesos a un número máximo por usuario o bloquear los intentos masivos a través del login y así evitar ataques.

Restringir el acceso por contraseña, IP o país

Desde el apartado Mi cuenta > Preferencias > Seguridad del Panel de tu hosting puedes restringir los accesos a tu web o a determinadas carpetas como la de wp-admin, para que solo puedan acceder con contraseña o desde una determinada IP o área geográfica.

Restricción IP wp-admin

O si lo prefieres, puedes restringir el acceso al wp-login.php por IP editando el fichero .htaccess con el siguiente código:

<Files wp-login.php>
	Order Allow,Deny
	Deny from all
	Allow from ip

</Files>

En este post te contamos otras acciones de seguridad para proteger WordPress editando el archivo .htaccess.

Revisar los permisos de usuarios

Échale un ojo a los usuarios y a los permisos que tienen asignados. Si por ejemplo, solamente escriben entradas, no es necesario que tengan permisos de Administrador.

Borra también aquellos usuarios que ya no necesitan acceder a la web. En caso de que vuelvan a necesitar tener acceso es mejor creárselo que dejar la puerta abierta.

Cuanto menos administradores haya, menos probabilidad habrá de que se produzcan accesos o problemas indeseados por una mala gestión de WordPress.

Utilizar contraseñas seguras

Tener una buena contraseña es también una parte muy importante para evitar que accedan a nuestra web a través del login.

Escribe contraseñas difíciles y lo suficientemente largas para que sean difíciles de descifrar. Combina mayúsculas y minúsculas e incluye números y caracteres raros.

Y no solo tu propia contraseña, solicita o exige a todos los usuarios de la web que utilicen contraseñas seguras para loguearse.

Esperamos que este post te haya sido de utilidad. ¿Conocías la carpeta wp-admin y el archivo wp-login.php? ¿Tienes algún otro consejo para proteger el login de tu web? ¡Te leemos en los comentarios! 🙂


Avatar de Marta Mariño

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter

Recibe quincenalmente consejos muy útiles para tu web y ecommerce. Además, con tu alta te regalamos 3 guías: la Gran Guía de la Digitalización, la Guía de WordPress más completa y la Guía de Ciberseguridad para mantener tu web y pyme seguras.

Conviértete en afiliado

Gana dinero recomendando dinahosting a todo el mundo.