Cómo proteger el panel de administración de WordPress

Por qué proteger el panel de administración es fundamental

El panel de administración de WordPress es el objetivo más habitual de los hackers porque el acceso a él les otorga el control total del sitio. Todo sitio WordPress tiene una página de acceso predeterminada en /wp-admin o /wp-login.php, lo cual es de conocimiento general. Los bots automatizados intentan acceder a estas URL las 24 horas del día mediante ataques de fuerza bruta, diccionarios de contraseñas y credenciales robadas en filtraciones de datos. Según las estadísticas, el sitio WordPress medio recibe más de 10.000 intentos de inicio de sesión no autorizados al mes.

Un panel de administración comprometido permite a un atacante instalar malware, robar datos de usuarios, usar el servidor para enviar correos de spam, alojar páginas de phishing o eliminar por completo el sitio. Las consecuencias pueden ser catastróficas: pérdida de ingresos, daño a la reputación, problemas legales derivados de fugas de datos e inclusión en listas negras de Google. Proteger el panel de administración no es opcional, sino una medida de seguridad obligatoria para todo sitio WordPress.

Cambiar la URL de acceso

Por qué cambiar la URL

Cambiar la URL de acceso predeterminada es la primera línea de defensa, conocida como seguridad por oscuridad. Aunque esto por sí solo no basta para una protección completa, reduce de forma notable el número de ataques automatizados, ya que los bots buscan las direcciones /wp-admin y /wp-login.php. Una URL modificada elimina la inmensa mayoría de los ataques de fuerza bruta automatizados, que representan el 95 por ciento de todos los ataques contra las páginas de acceso de WordPress.

Plugin WPS Hide Login

WPS Hide Login es un plugin ligero con más de un millón de instalaciones activas que simplemente cambia la URL de la página de acceso. Tras la instalación, ve a Ajustes y luego a WPS Hide Login, e introduce una nueva URL como /mi-acceso o /entrada-secreta. El plugin no modifica archivos ni añade reglas de reescritura: simplemente intercepta las solicitudes. Recuerda la nueva URL o guárdala en un lugar seguro, porque sin ella quedarás bloqueado fuera del panel de administración. Si olvidas la URL, puedes desactivar el plugin vía FTP o phpMyAdmin eliminándolo del directorio wp-content/plugins.

Métodos alternativos

Si no quieres usar un plugin, puedes ocultar la página de acceso mediante reglas htaccess en Apache o un bloque location en Nginx. Por ejemplo, puedes bloquear el acceso a wp-login.php para todos excepto direcciones IP concretas, o usar la autenticación básica HTTP como capa de protección adicional delante del formulario de acceso de WordPress. Esto añade un cuadro de diálogo de usuario y contraseña antes de que siquiera se muestre el formulario de acceso de WordPress, lo que supone una doble barrera para el atacante.

Limitar los intentos de inicio de sesión

Protección contra fuerza bruta

Un ataque de fuerza bruta prueba distintas combinaciones de nombres de usuario y contraseñas hasta acertar. WordPress, por defecto, no limita el número de intentos de inicio de sesión, lo que significa que un atacante puede probar millones de combinaciones. Limitar los intentos de inicio de sesión es una medida absolutamente esencial que bloquea una dirección IP tras cierto número de intentos fallidos. Esto vuelve impracticables los ataques de fuerza bruta, ya que el atacante solo puede probar unas pocas contraseñas antes de ser bloqueado.

Limit Login Attempts Reloaded

Limit Login Attempts Reloaded es el plugin más popular para este fin, con más de 2 millones de instalaciones activas. El plugin bloquea una dirección IP tras un número determinado de intentos fallidos, con tiempos de bloqueo cada vez más largos. La configuración recomendada es de 3 intentos permitidos antes de un bloqueo de 20 minutos, y luego 3 bloqueos antes de un bloqueo ampliado de 24 horas. El plugin envía notificaciones por correo al administrador sobre las direcciones IP bloqueadas y ofrece estadísticas del número de ataques bloqueados.

Fail2ban a nivel de servidor

Para una protección más seria, Fail2ban a nivel de servidor es una solución superior, ya que bloquea las direcciones IP a nivel de firewall antes incluso de que la solicitud llegue a WordPress. Fail2ban lee los registros de autenticación de WordPress y añade automáticamente reglas de firewall para las direcciones IP con demasiados intentos de inicio de sesión fallidos. Esto es más eficiente que las soluciones basadas en plugins, ya que se consumen menos recursos del servidor para rechazar ataques. La configuración consiste en crear una jail de Fail2ban para WordPress y un filtro que reconozca los intentos de inicio de sesión fallidos en el registro de acceso.

Autenticación de dos factores (2FA)

Qué es el 2FA y por qué es imprescindible

La autenticación de dos factores añade una segunda capa de protección junto a la contraseña al exigir algo que el usuario sabe (la contraseña) y algo que el usuario posee (el teléfono con un autenticador). Aunque un atacante descubra tu contraseña mediante phishing, una filtración de datos o fuerza bruta, no podrá acceder al panel de administración sin el segundo factor. Una investigación de Google muestra que el 2FA bloquea el 99,9 por ciento de los ataques automatizados y el 96 por ciento de los ataques de phishing dirigidos.

Implementación del 2FA

WP 2FA es un excelente plugin gratuito que admite contraseñas de un solo uso basadas en tiempo (TOTP) compatibles con Google Authenticator, Authy, Microsoft Authenticator y otras aplicaciones de autenticación. Tras la instalación, cada usuario escanea un código QR con la aplicación de autenticación e introduce un código de seis dígitos que cambia cada 30 segundos en cada inicio de sesión. El plugin también admite códigos de respaldo para situaciones en las que el usuario no tiene acceso a su teléfono, así como la posibilidad de imponer el 2FA a roles de usuario concretos.

Llaves de seguridad físicas

Para el máximo nivel de seguridad, el estándar WebAuthn permite usar llaves de seguridad físicas como YubiKey para iniciar sesión en WordPress. Las llaves físicas son resistentes al phishing porque están vinculadas a un dominio concreto y no se pueden interceptar. WordPress 5.6 y versiones posteriores incluyen soporte nativo para Application Passwords, y plugins como WP-WebAuthn añaden soporte completo para llaves físicas FIDO2. Esto es recomendable para los administradores de sitios con datos sensibles.

Lista blanca de IP

Restringir el acceso por dirección IP

Si accedes al panel de administración desde una dirección IP fija o desde un número reducido de direcciones IP conocidas, puedes restringir el acceso únicamente a esas direcciones. Esta es la forma de protección más estricta, ya que bloquea por completo el acceso al panel de administración desde cualquier ubicación desconocida. En el archivo htaccess del directorio wp-admin, usa la directiva Order Deny Allow para permitir solo direcciones IP concretas. En Nginx, usa las directivas allow y deny en el bloque location de wp-admin.

Problemas con la IP dinámica

La mayoría de los usuarios tienen una dirección IP dinámica que cambia periódicamente, lo que hace impracticable una lista blanca de IP estática. Entre las soluciones está usar un servicio VPN con una IP fija que proporcione una IP constante independientemente de la ubicación. Como alternativa, puedes usar CloudFlare Access o soluciones Zero Trust que autentican al usuario antes de permitir el acceso a la URL de administración. Algunos plugins como iThemes Security ofrecen la opción de enviar un enlace mágico al correo para añadir temporalmente una dirección IP a la lista blanca.

Plugins de seguridad

Wordfence Security

Wordfence es el plugin de seguridad de WordPress más conocido, con más de 4 millones de instalaciones activas. Ofrece un firewall de aplicaciones web que bloquea ataques conocidos antes de que lleguen a WordPress, un escáner de malware que revisa todos los archivos de WordPress y los compara con los originales del repositorio, inteligencia de amenazas en tiempo real con información sobre las amenazas más recientes, seguridad de inicio de sesión con 2FA y protección contra fuerza bruta, y monitorización de tráfico en vivo que muestra todas las solicitudes en tiempo real. La versión gratuita cubre la mayoría de las necesidades, mientras que la versión premium añade reglas de firewall en tiempo real y soporte prioritario.

Sucuri Security

Sucuri ofrece un WAF basado en la nube, que es un firewall a nivel de DNS, lo que significa que las solicitudes maliciosas nunca llegan a tu servidor. Esto es especialmente eficaz contra los ataques DDoS y los exploits de día cero, ya que el equipo de Sucuri actualiza constantemente las reglas. El plugin de WordPress ofrece monitorización de integridad de archivos, registro de seguridad, monitorización de listas negras y acciones posteriores a un hackeo para limpiar un sitio comprometido. Sucuri es un servicio premium, pero una inversión excelente para sitios empresariales y plataformas de comercio electrónico.

iThemes Security

iThemes Security, antes conocido como Better WP Security, ofrece más de 30 medidas de seguridad en un solo plugin. Entre sus funciones clave se incluyen el cambio de la URL de administración, la protección contra fuerza bruta, la detección de cambios en archivos, la imposición de contraseñas fuertes, el bloqueo de user agents problemáticos, la ocultación de la versión de WordPress y las actualizaciones automáticas. El panel muestra la puntuación de seguridad del sitio con recomendaciones de mejora. La versión Pro añade 2FA, escaneo programado de malware e integración con reCAPTCHA.

Medidas de protección adicionales

Contraseña y nombre de usuario fuertes

Nunca uses admin como nombre de usuario, porque es lo primero que prueban los bots. Usa un nombre de usuario único que no sea visible públicamente en el sitio. La contraseña debe tener al menos 16 caracteres, con una mezcla de mayúsculas y minúsculas, números y caracteres especiales. Usa un gestor de contraseñas como Bitwarden o 1Password para generar y almacenar contraseñas fuertes. No uses la misma contraseña para el administrador de WordPress y otros servicios, porque una filtración de datos en un servicio compromete todas las cuentas con la misma contraseña.

Certificado SSL

Un certificado SSL cifra la comunicación entre el navegador y el servidor, incluidos el nombre de usuario y la contraseña al iniciar sesión. Sin SSL, los datos de acceso viajan en texto plano y pueden ser interceptados en redes WiFi públicas o redes comprometidas. En BeoHosting, todos los planes incluyen un certificado SSL gratuito de Let's Encrypt con renovación automática. Tras la instalación del SSL, añade la constante FORCE_SSL_ADMIN con valor true a wp-config.php para forzar HTTPS en todo el panel de administración.

Actualizaciones periódicas

La mayoría de los ataques exitosos contra WordPress explotan vulnerabilidades conocidas en versiones desactualizadas. Consulta la guía detallada de protección del sitio, los temas o los plugins. Actualiza WordPress, los temas y los plugins en cuanto haya una nueva versión disponible. Activa las actualizaciones automáticas para las versiones menores de WordPress y los parches de seguridad. Antes de las actualizaciones importantes, haz una copia de seguridad completa del sitio. Elimina los temas y plugins que no uses, porque incluso los plugins desactivados pueden contener vulnerabilidades que los atacantes pueden aprovechar.

Conclusión

Proteger el panel de administración de WordPress requiere un enfoque por capas, ya que ninguna medida por sí sola es suficiente. Combina el cambio de la URL de acceso para eliminar los ataques automatizados, la limitación de los intentos de inicio de sesión para la protección contra fuerza bruta, el 2FA para protegerte de contraseñas comprometidas, la lista blanca de IP para el acceso más estricto, y un plugin de seguridad para una monitorización y protección integrales. En los planes de hosting WP de BeoHosting se incluye la protección a nivel de servidor con Fail2ban, ModSecurity WAF y copia de seguridad automática para la máxima seguridad del sitio.