Por defecto, WordPress muestra mensajes de error en la página de inicio de sesión cuando alguien ingresa un nombre de usuario o contraseña incorrectos. Si bien estos mensajes están destinados a ayudar a los usuarios, también pueden dar pistas a los hackers que intentan acceder a su sitio.
Deshabilitar estas pistas de inicio de sesión es una forma sencilla de fortalecer la seguridad de su sitio.
Al ocultar estos detalles, dificulta que los hackers adivinen sus credenciales. Siempre las deshabilitamos en nuestros sitios para una capa adicional de protección.
En este artículo, le mostraremos cómo deshabilitar las pistas de inicio de sesión en WordPress para ayudarlo a hacer que su sitio web sea más seguro.
¿Qué son las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress?
Cada vez que alguien intenta iniciar sesión en su sitio usando un nombre de usuario o contraseña incorrectos, WordPress mostrará un mensaje de error en la pantalla de inicio de sesión.
Si esta persona escribió un nombre de usuario o dirección de correo electrónico incorrectos, WordPress mostrará el siguiente error: 'El nombre de usuario no está registrado en este sitio. Si no está seguro de su nombre de usuario, intente con su dirección de correo electrónico en su lugar.'
Esto puede ser útil para usuarios legítimos, pero también permite a cualquier hacker saber que está escribiendo un nombre de usuario incorrecto.
Ingresar el nombre de usuario correcto pero una contraseña incorrecta activa el error: 'La contraseña que ingresó para el nombre de usuario es incorrecta. ¿Olvidó su contraseña??'
Esto confirma una suposición correcta del nombre de usuario para posibles atacantes.
Si alguien logra adivinar tu nombre de usuario, el mensaje de error les hará saber que van por buen camino. Eso significa que solo tu contraseña se interpone entre ellos y el acceso a tu cuenta.
Los propietarios de sitios web de WordPress también pueden iniciar sesión en su sitio usando una dirección de correo electrónico en lugar de su nombre de usuario. Esto significa que un hacker podría escribir diferentes direcciones de correo electrónico para intentar averiguar qué dirección estás usando para tu cuenta de WordPress.
Tan pronto como el hacker adivine la dirección de correo electrónico correcta, WordPress cambiará al error 'La contraseña que ingresaste para el nombre de usuario es incorrecta'.
Para proteger tu blog o sitio de WordPress contra hackers, siempre debes usar un nombre de usuario único y una contraseña segura para tu cuenta.
Si has agregado otros usuarios o autores de WordPress a tu sitio, es posible que también desees usar un plugin de WordPress para forzar a tus usuarios a crear una contraseña segura.
Si bien estos pasos son un gran comienzo, las pistas de inicio de sesión pueden ayudar a los hackers a acceder a tu sitio. Teniendo esto en cuenta, veamos cómo puedes ocultar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress.
Ocultar pistas de inicio de sesión en WordPress
La forma más fácil de deshabilitar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress es pegando algo de código en WordPress. Si bien normalmente no sugerimos esto para principiantes, WPCode facilita que cualquiera agregue código a su sitio web de WordPress.
Puedes agregar el siguiente fragmento de código al final del archivo functions.php de tu sitio, pero hacerlo podría hacer que tu sitio falle.
En nuestra experiencia, WPCode es súper fácil de usar para principiantes y asegura que incluso si cometes un error al agregar código personalizado, tu sitio permanece accesible. Para obtener más información, consulta nuestra reseña detallada de WPCode.
Primero, necesitas instalar y activar el plugin gratuito WPCode. Para obtener instrucciones detalladas, puedes consultar nuestra guía sobre cómo instalar un plugin de WordPress.
Una vez activado, todo lo que tienes que hacer es ir a Fragmentos de código » +Agregar fragmento desde tu panel de administración de WordPress. Luego, deberás pasar el cursor sobre ‘Agregar tu código personalizado’ y hacer clic en ‘Usar fragmento’.
Después de eso, simplemente necesitas nombrar tu nuevo fragmento y pegar el siguiente código en el área de ‘Vista previa del código’:
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Este código cambia el error predeterminado de la página de inicio de sesión a un mensaje personalizado, como '¡Algo salió mal!'.
Además, este código le indica a WordPress que muestre un mensaje personalizado en lugar del error predeterminado. En el código de ejemplo anterior, estamos usando '¡Algo salió mal!' como nuestro mensaje de error.
Puedes cambiar esta línea para mostrar cualquier mensaje que desees. Por ejemplo, aquí estamos usando '¡Algo salió mal!' como nuestro mensaje de error:
return 'Something is wrong!';
Asegúrate de seleccionar PHP en el menú desplegable 'Tipo de código', y luego puedes cambiar el interruptor de 'Inactivo' a 'Activo' y hacer clic en 'Guardar fragmento'.
Una vez que hayas hecho eso, es una buena idea probar tu nuevo mensaje de error.
Para hacer esta prueba, simplemente dirígete a la página de inicio de sesión de tu sitio web y escribe el nombre de usuario, contraseña o correo electrónico incorrectos. Luego, haz clic en el botón 'Iniciar sesión'.
WordPress ahora mostrará tu nuevo mensaje de error sin darte ninguna pista sobre lo que podría estar mal.
Ahora, ten en cuenta que si bien este código deshabilitará las pistas de inicio de sesión en WordPress, no te protegerá de intentos más avanzados o de ataques de fuerza bruta.
La forma más fácil de evitar que los hackers accedan a tu sitio es usar un plugin de seguridad de WordPress como Cloudflare o WordFence.
Para más información, puedes leer nuestra guía definitiva sobre cómo asegurar tu sitio web de WordPress.
Tutorial en video
Para hacerlo más fácil, también hemos creado un tutorial en video sobre cómo deshabilitar las pistas de inicio de sesión en los mensajes de error de inicio de sesión de WordPress.
Consejo Adicional: Mejora la seguridad de tu inicio de sesión de WordPress
Ahora que conoces la importancia de un nombre de usuario y una contraseña sólidos, exploremos algunas formas adicionales de mejorar la seguridad de tu inicio de sesión. Es importante no solo para ti, sino también para cualquiera que contribuya a tu blog, especialmente si múltiples autores lo administran.
Aquí tienes algunos consejos adicionales para mantener tus cuentas aún más seguras:
🔐 Habilita la Autenticación de Dos Factores (2FA): Esto agrega una capa adicional de seguridad al requerir una segunda forma de verificación, como un código de mensaje de texto o una pregunta de seguridad.
🔑 Usa un Administrador de Contraseñas: Estas herramientas te ayudan a crear y almacenar contraseñas complejas de forma segura, para que no tengas que recordarlas todas.
🔄 Actualiza tu Contraseña Regularmente: Cambia tus contraseñas cada pocos meses para minimizar el riesgo de acceso no autorizado. Es aún mejor si puedes forzar las actualizaciones de contraseña para los usuarios.
🚫 Evita usar Wi-Fi público para inicios de sesión sensibles: Si es posible, usa una conexión segura y privada al iniciar sesión en cuentas importantes.
🛠️ Mantén tu software actualizado: Las actualizaciones regulares pueden protegerte de vulnerabilidades de seguridad que los atacantes podrían explotar.
Además de todo, es posible que desees limitar los intentos de inicio de sesión en tu sitio de WordPress.
Durante un ataque de fuerza bruta, los hackers utilizan software automatizado para adivinar contraseñas repetidamente debido a que la plataforma permite por defecto intentos de inicio de sesión ilimitados.
Limitar los intentos de inicio de sesión fallidos, como bloquear temporalmente a los usuarios después de 5 intentos fallidos, reduce significativamente el riesgo de acceso no autorizado por ataques de fuerza bruta.
Esperamos que este artículo te haya ayudado a aprender cómo ocultar las pistas de inicio de sesión de los mensajes de error de inicio de sesión de WordPress. A continuación, también puedes consultar nuestra guía sobre cómo crear un portal para clientes con inicios de sesión y páginas privadas o cómo agregar un inicio de sesión social a WordPress.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Dennis Muthomi
Sugeriría llevar esto un paso más allá implementando la autenticación de dos factores para una capa adicional de seguridad. He deshabilitado las pistas de inicio de sesión e implementado 2FA solo para estar seguro (ya me han hackeado antes).
Thomas Maier
Hola, ¿cómo puedo traducir el código anterior a diferentes idiomas? Lo necesito para el inicio de sesión de WooCommerce para los clientes.
Soporte de WPBeginner
Querrías cambiar el texto '¡Algo salió mal!' por el texto que desees, pero si quieres que el texto cambie a varios idiomas, eso requeriría un poco más de codificación de la que tendríamos para un artículo para principiantes. En ese caso, querrías echar un vistazo a los plugins multilingües.
Administrador
Vahn
¡Muchas gracias! Pasé horas buscando el lugar para cambiar esto.
Soporte de WPBeginner
Glad our guide was helpful
Administrador
Izzy
Cuando agrego esto a mi plugin WpTouch, muestra una parte del código en mi encabezado...
Soporte de WPBeginner
Siempre y cuando el código funcione en la versión de escritorio, deberías contactar a WPTouch para informarles sobre ese problema y que lo revisen.
Administrador
Anand
Bueno, es fácil saber el nombre de usuario si es correcto, ya que cuando se ingresa el nombre de usuario correcto y la contraseña incorrecta, el campo del nombre de usuario no se queda en blanco incluso después de recibir la advertencia de 'algo salió mal'. Lo que claramente es una pista de que sí, este es el nombre de usuario correcto. ¿Hay alguna forma de que el campo del nombre de usuario se quede en blanco en este escenario? Por favor, ayuda.
Shane
¿Hay alguna forma de cambiar el texto del mensaje de error en la página de recuperación de contraseña que dice por defecto: “Por favor, introduce tu nombre de usuario o dirección de correo electrónico. Recibirás un enlace para crear una nueva contraseña por correo electrónico.”?
No parece que encuentre ningún material sobre el tema
Nick
Me estaba preguntando lo mismo. ¿Por qué no podemos simplemente cambiar la redacción del mensaje de error en lugar de agregar una función que podría ser sobrescrita con la próxima actualización?
Paco
Lo único es que cuando introduces un nombre de usuario correcto y una contraseña incorrecta, da un mensaje “algo salió mal”, pero puedes ver el nombre de usuario, lo que lo confirma en caso de que lo hayas adivinado. No sé si esto sucede en WordPress 4.5. ¿Hay alguna forma de dejar el campo de nombre de usuario en blanco aunque sea correcto? Gracias
maudenicholson2
Tengo curiosidad por saber qué sistema de blogs estás usando. Tengo algunos pequeños problemas de seguridad con mi último sitio web y me gustaría encontrar algo más seguro. ¿Tienes alguna solución?
Soporte de WPBeginner
Estamos usando WordPress con Sucuri.
Administrador
freyaewu73605919
Estoy verdaderamente agradecido al propietario de esta página web que ha compartido este enorme artículo en este momento.
deneengranger
¿Tienes algún video de eso? Me gustaría obtener información adicional.
Soporte de WPBeginner
El video estará disponible pronto. Por favor, suscríbete a nuestro Canal de YouTube.
Administrador
Bob
WP Simple Firewall o Shield te da la capacidad de ocultar el menú de inicio de sesión, bloquear el Panel de administración y viene con prevención de ataques de fuerza bruta y de Sucuri. Es un plugin gratuito, úsalo junto con un gestor de contraseñas, para que no olvides o pierdas tus contraseñas. Yo uso Lastpass, que también es gratuito. Shield reemplazó seis plugins de seguridad y aceleró mi sitio web.
Phillip George
¿Hay una línea de ayuda en Australia, ya que he olvidado mi nombre de usuario para iniciar sesión, siendo un poco mayor, es un problema?
Bob
¡Hola Phillip! Lo siento, amigo, no hay línea de ayuda. Intenta contactar a quien sea que aloje tu sitio web, ellos deberían poder ayudarte. Una vez restablecido, usa un gestor de contraseñas como Lastpass, solo tienes que recordar una contraseña. ¡ESCRÍBELA!; ¿dije escríbela? porque si no lo haces, ESCRIBIRLA, realmente estarás en apuros, sin remedio.