Por defecto, WordPress muestra mensajes de error en la página de inicio de sesión cuando alguien ingresa un nombre de usuario o contraseña incorrectos. Si bien estos mensajes están destinados a ayudar a los usuarios, también pueden dar pistas a los hackers que intentan acceder a su sitio.
Deshabilitar estas pistas de inicio de sesión es una forma sencilla de fortalecer la seguridad de su sitio.
Al ocultar estos detalles, dificulta que los hackers adivinen sus credenciales. Siempre las deshabilitamos en nuestros sitios para una capa adicional de protección.
En este artículo, le mostraremos cómo deshabilitar las pistas de inicio de sesión en WordPress para ayudarlo a hacer que su sitio web sea más seguro.
¿Qué son las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress?
Cada vez que alguien intenta iniciar sesión en su sitio usando un nombre de usuario o contraseña incorrectos, WordPress mostrará un mensaje de error en la pantalla de inicio de sesión.
Si esta persona escribió un nombre de usuario o dirección de correo electrónico incorrectos, WordPress mostrará el siguiente error: 'El nombre de usuario no está registrado en este sitio. Si no está seguro de su nombre de usuario, intente con su dirección de correo electrónico en su lugar.'
Esto puede ser útil para usuarios legítimos, pero también permite a cualquier hacker saber que está escribiendo un nombre de usuario incorrecto.
Ingresar el nombre de usuario correcto pero una contraseña incorrecta activa el error: 'La contraseña que ingresó para el nombre de usuario es incorrecta. ¿Olvidó su contraseña??'
Esto confirma una suposición correcta del nombre de usuario para posibles atacantes.
Si alguien logra adivinar tu nombre de usuario o dirección de correo electrónico, el mensaje de error 'La contraseña que ingresaste para el nombre de usuario es incorrecta' les hará saber que van por buen camino.
Esto significa que solo tu contraseña se interpone entre ellos y el acceso a tu cuenta.
Es por eso que recomendamos usar múltiples capas de seguridad. Ocultar las pistas de inicio de sesión hace que el trabajo de un hacker sea mucho más difícil, pero es más efectivo cuando lo combinas con otras prácticas de seguridad.
Con esto en mente, veamos cómo puedes ocultar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress.
Ocultar pistas de inicio de sesión en WordPress
La forma más fácil de deshabilitar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress es pegando algo de código en WordPress. WPCode facilita que cualquiera agregue código a su sitio web de WordPress.
Puedes agregar el siguiente fragmento de código al final del archivo functions.php de tu sitio, pero hacerlo podría hacer que tu sitio falle.
En nuestra experiencia, WPCode es súper fácil de usar para principiantes y asegura que incluso si cometes un error al agregar código personalizado, tu sitio permanece accesible. Para obtener más información, consulta nuestra reseña detallada de WPCode.
Primero, necesitas instalar y activar el plugin gratuito WPCode. Para obtener instrucciones detalladas, puedes consultar nuestra guía sobre cómo instalar un plugin de WordPress.
Una vez activado, todo lo que tienes que hacer es ir a Fragmentos de código » +Agregar fragmento desde tu panel de administración de WordPress. Luego, deberás pasar el cursor sobre ‘Agregar tu código personalizado’ y hacer clic en ‘Usar fragmento’.
Después de eso, simplemente necesitas nombrar tu nuevo fragmento y pegar el siguiente código en el área de ‘Vista previa del código’:
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Este código cambia el error predeterminado de la página de inicio de sesión a un mensaje personalizado, como '¡Algo salió mal!'.
Este código funciona utilizando un 'hook de filtro' de WordPress llamado 'login_errors'. Piensa en un hook como una forma para que nuestro código cambie cómo funciona WordPress por defecto.
En este caso, intercepta el mensaje de error estándar y lo reemplaza con el nuestro personalizado.
Puedes cambiar esta línea para mostrar cualquier mensaje que desees. Por ejemplo, aquí estamos usando '¡Algo salió mal!' como nuestro mensaje de error:
return 'Something is wrong!';
Asegúrate de seleccionar PHP en el menú desplegable 'Tipo de código', y luego puedes cambiar el interruptor de 'Inactivo' a 'Activo' y hacer clic en 'Guardar fragmento'.
Una vez que hayas hecho eso, es una buena idea probar tu nuevo mensaje de error.
Para hacer esta prueba, simplemente dirígete a la página de inicio de sesión de tu sitio web y escribe el nombre de usuario, contraseña o correo electrónico incorrectos. Luego, haz clic en el botón 'Iniciar sesión'.
WordPress ahora mostrará tu nuevo mensaje de error sin darte ninguna pista sobre lo que podría estar mal.
Ahora, ten en cuenta que si bien este código deshabilitará las pistas de inicio de sesión en WordPress, no te protegerá de intentos más avanzados o de ataques de fuerza bruta.
La mejor manera de proteger tu sitio de los hackers es usar un plugin de seguridad de WordPress como WordFence o un firewall de aplicaciones web (WAF) como Cloudflare.
Para más información, puedes leer nuestra guía definitiva sobre cómo asegurar tu sitio web de WordPress.
Tutorial en video
Para hacerlo más fácil, también hemos creado un tutorial en video sobre cómo deshabilitar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress.
Consejo Adicional: Mejora la seguridad de tu inicio de sesión de WordPress
Ahora que conoces la importancia de un nombre de usuario y una contraseña sólidos, exploremos algunas formas adicionales de mejorar la seguridad de tu inicio de sesión. Es importante no solo para ti, sino también para cualquiera que contribuya a tu blog, especialmente si múltiples autores lo administran.
Aquí tienes algunos consejos adicionales para mantener tus cuentas aún más seguras:
🔐 Habilita la Autenticación de Dos Factores (2FA): Esto agrega una capa adicional de seguridad al requerir una segunda forma de verificación, como un código de mensaje de texto o una pregunta de seguridad.
🔑 Usa un Administrador de Contraseñas: Estas herramientas te ayudan a crear y almacenar contraseñas complejas de forma segura, para que no tengas que recordarlas todas.
🔄 Actualiza tu Contraseña Regularmente: Cambia tus contraseñas cada pocos meses para minimizar el riesgo de acceso no autorizado. Es aún mejor si puedes forzar las actualizaciones de contraseña para los usuarios.
🚫 Evita usar Wi-Fi público para inicios de sesión sensibles: Si es posible, usa una conexión segura y privada al iniciar sesión en cuentas importantes.
🛠️ Mantén tu software actualizado: Las actualizaciones regulares pueden protegerte de vulnerabilidades de seguridad que los atacantes podrían explotar.
Además de todo, es posible que desees limitar los intentos de inicio de sesión en tu sitio de WordPress.
Durante un ataque de fuerza bruta, los hackers utilizan software automatizado para adivinar contraseñas repetidamente debido a que la plataforma permite por defecto intentos de inicio de sesión ilimitados.
Limitar los intentos de inicio de sesión fallidos, como bloquear temporalmente a los usuarios después de 5 intentos fallidos, reduce significativamente el riesgo de acceso no autorizado por ataques de fuerza bruta.
Protege tu sitio con copias de seguridad sencillas
Duplicator facilita la creación de una copia de seguridad completa de tu sitio de WordPress. Antes de realizar cualquier ajuste de seguridad o actualización, tener una copia de seguridad reciente te da total tranquilidad en caso de que algo salga mal. Es la red de seguridad definitiva para tu sitio web.
Preguntas Frecuentes Sobre la Seguridad de Inicio de Sesión de WordPress
Aquí hay algunas preguntas que nuestros lectores hacen con frecuencia sobre la seguridad de inicio de sesión de WordPress:
¿Deshabilitar las pistas de inicio de sesión es suficiente para asegurar completamente mi sitio?
No, deshabilitar las pistas de inicio de sesión es solo una capa de seguridad. Es un paso importante en una estrategia más amplia para hacer que tu sitio web sea un objetivo más difícil para los atacantes.
Para una protección completa, siempre debes usar un plugin de seguridad integral para WordPress, aplicar contraseñas seguras para todos los usuarios y habilitar la autenticación de dos factores.
¿Me quedaré bloqueado si olvido mi contraseña después de deshabilitar las pistas?
En absoluto. Deshabilitar estas pistas no afecta el enlace '¿Olvidaste tu contraseña?' ni el proceso de restablecimiento de contraseña.
Aún podrás recuperar tu cuenta de forma segura siguiendo los pasos estándar de restablecimiento de contraseña que se envían a tu dirección de correo electrónico.
¿Puedo deshabilitar las pistas de inicio de sesión sin usar un plugin?
Sí, puedes agregar el fragmento de código directamente al archivo functions.php de tu tema. Sin embargo, desaconsejamos firmemente este método para la mayoría de los usuarios.
Editar este archivo directamente puede dañar tu sitio si hay un error, y tus cambios se perderán cuando actualices tu tema. Un plugin como WPCode es la forma más segura de agregar código personalizado.
¿Cuál es la forma más efectiva de proteger mi página de inicio de sesión?
La forma más efectiva de asegurar tu inicio de sesión de WordPress es habilitando la Autenticación de Dos Factores (2FA). Esto requiere un segundo código, generalmente de tu teléfono, además de tu contraseña.
Incluso si un hacker logra robar tu contraseña, no podrá iniciar sesión sin acceso físico a tu dispositivo de verificación.
Esperamos que este artículo te haya ayudado a aprender cómo ocultar las pistas de inicio de sesión de los mensajes de error de inicio de sesión de WordPress. A continuación, también puedes consultar nuestra guía sobre cómo crear un portal para clientes con inicios de sesión y páginas privadas o cómo agregar un inicio de sesión social a WordPress.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Dennis Muthomi
Thrive Comments ha sido mi opción principal para administrar comentarios en mis sitios web. Solía pasarme horas abriendo pestañas separadas solo para ver a qué respondía la gente, pero ahora puedo verlo todo ahí mismo. ¡Literalmente ha reducido mi tiempo de moderación a la mitad! Esto es lo que me está funcionando de maravilla: reviso los comentarios dos veces al día en horarios programados. Mantiene las conversaciones fluyendo bien y me ayuda a estar al tanto de todo sin sentirme abrumado.
¿La mejor parte? Como puedo ver instantáneamente a qué responde cada comentario, cometo muchos menos errores en la moderación, especialmente en mis sitios más concurridos. ¡Ha marcado una gran diferencia!