WordPress es uno de los CMS mas populares actualmente en la actual Internet, para los menos entendidos un CMS es un "Sistema de gestión de contenidos" que permite la creación y administración de artículos (contenidos) a los usuarios del mismo, puede ser un blog, un foro, un sistema wiki, etc,... Wordpress esta desarrollado en PHP y usa el motor de bases de datos MySQL, es opensource (GPL) y es la evolución del antiguo B2/cafelog, actualmente abandonado. A parte de ser conocido por su facilidad de uso, cantidad de diseños, plugins y calidad en el manejo de los contenidos, es popular por sus muchos y peligroso bugs en varias de sus versiones, lo cual actualmente parece que está mejorando. En este artículo vamos a explicar como proteger un poco más la entrada al panel de administración de un sitio web que use Wordpress como CMS.

Como sabemos la página de logueo para un CMS Wordpress apunta al fichero wp-login.php, este fichero nos permite poder loguearnos en el blog y es de sobra conocido por todos, por eso, vamos a ver de que forma cambiar ese nombre y así dificultar un poco más un posible hackeo o entrada al sistema después de la obtención de cierta información de la base de datos. Simplemente es un añadido más de seguridad que no cuesta mucho tiempo realizar y carece de dificultad como veremos.

Podemos encontrar el fichero de la siguiente forma dependiendo del admin de la web y su configuración:

http://www.XXXXX.com/wp-login.php
http://www.XXXXX.com/XXXX/wp-login.php

En muchas webs podremos incluso observar enlaces de la pagina principal apuntando a la URL de logueo (wp-login.php). Este truco es para poder cambiar el nombre del fichero php que loguea en WordPress, pero también nos permite poder dejar un wp-login.php modificado para despistar o incluso avisarnos si alguien está intentando acceder o lo que nosotros imaginemos. Vamos a ver como de fácil es poder modificar nombre del fichero wp-login.php

Ficheros en juego (admin-header.php / wp-login.php):

* Fichero /httpdocs/wp-admin/admin-header.php . Debemos cambiar donde pone la palabra wp-login.php por el nuevo nombre, en principio solo en esta linea que mostramos a continuación, pero comprobemos que la palabra "wp-login.php" no se encuentre en otras lineas, ya que en nuevas versiones del CMS podríamos notar algún cambio. Esta modificación al fichero admin-header.php permite poder salir de la sesión de forma correcta, ya que requiere del propio fichero wp-login.php para poder cerrar la sesión abierta de forma correcta. Si NO modificamos este fichero no podremos salir de la sesión de forma satisfactoria.

Linea Original:

Linea Nueva:

* El fichero wp-login.php debemos cambiarlo de nombre y también debemos modificar todas las lineas de su contenido que contengan la palabra wp-login.php. Esto de debe a que este fichero php realiza varias llamadas a si mismo y de no cambiarlo en todo el archivo podremos encontrar problemas de funcionamiento.

Este fichero se encuentra normalmente en la ruta /httpdocs/wp-login.php. Debemos cambiar el nombre del fichero, a por ejemplo WP-ADMIN.php, para seguir con coherencia el ejemplo anterior editando admin-header.php. Una vez editado el nombre del archivo, editamos su contenido, reemplazando las lineas donde hagan referencia a la palabra "wp-login.php" por el nuevo nombre "WP-ADMIN.php". Para esta tarea es recomendable usar una función automática de remplazo de texto, cambiando "wp-login.php" por "WP-ADMIN.php" para no realizarlo manualmente y poder cometer algún error. Son varias las lineas a modificar en este fichero ya que como deciamos, necesita de varias llamadas a si mismo para poder abrir y cerrar la sesión del usuario / administrador de WordPress.

Con estos dos ficheros modificados correctamente ya habríamos terminado, como vimos, es algo muy fácil y está al alcance de todos, ahora lo único que falta es acostumbrarse al nuevo nombre del fichero php que da acceso al panel de administración de WordPress.