Proteger el inicio de sesión en WordPress con una contraseña adicional

Información válida para: packs de Linux, Servidores Dedicados Gestionados y Servidores Root

Puede aumentar la seguridad de su sitio web configurando una protección adicional de contraseña para el área de administración (dashboard) de suWordPress.

Se requerirán dos inicios de sesión diferentes para acceder al dashboard. Esto dificulta el acceso no autorizado de terceros a su dashboard, por ejemplo, mediante un ataque por fuerza bruta.

Para habilitar la protección con contraseña, cree un archivo .htaccess y un archivo .htpasswd y cárguelos al directorio /wp-admin de su instalación de Wordpress:

Crear un archivo .htaccess

Un archivo .htaccess es un archivo de configuración que le permite realizar ajustes específicos de directorio en un servidor web compatible (por ejemplo, el servidor web Apache utilizado en un pack de Hosting de IONOS).

  • Cree un nuevo archivo localmente en su PC utilizando un editor de texto y guárdelo con el nombre .htaccess.
    A tener en cuenta: El nombre del archivo debe escribirse exactamente igual que arriba (el punto al principio es importante). ¡De lo contrario, la protección por contraseña no funciona!
  • Copie las siguientes líneas de código a su archivo .htaccess:
AuthType Basic
AuthName "Área protegida por contraseña"
AuthUserFile /homepages/xx/xxxxxxxxx/htdocs/[carpeta]/wp-admin/.htpasswd
require user [nombre-de-usuario]
  • Adapte el código copiado en su instalación de WordPress:
    El string /homepages/xx/xx/xxxxxxxxxxxxx/htdocs/ es un ejemplo de la raíz del documento, es decir, la ruta absoluta a su presencia en Internet (es decir, el nivel de directorio superior). Puede averiguarlo en su área IONOS.

    Reemplace [carpeta] con la ruta del directorio donde se encuentra su instalación de WordPress. Por ejemplo, si ha instalado su blog de WordPress en un directorio "wordpress" del mismo nombre, reemplace "[Carpeta]" por wordpress. Preste atención a las mayúsculas y minúsculas.

    Sustituya el texto [nombre-de-usuario] por cualquier nombre de usuario, por ejemplo webmaster o fulano. También puede especificar varios nombres separados por espacios para permitir el acceso a varias personas.

    Puede sustituir el texto del área protegida por contraseña por cualquier texto, por ejemplo, Sólo para personas con información privilegiada o similar.

    El archivo .htaccess finalizado podría tener este aspecto, por ejemplo:
AuthType Basic
AuthName "Área protegida por contraseña"
AuthUserFile /homepages/45/d12345678/htdocs/wordpress/wp-admin/.htpasswd
require user webmaster fulano

Crear un archivo .htpasswd

  • Cree un nuevo archivo llamado .htpasswd en su PC (¡no olvide el punto!).
  • Introduzca el nombre de usuario y la contraseña en el siguiente formato:
    [Nombre de usuario]:[Contraseña cifrada]

    Nota: Si configura varios usuarios, cada nombre de usuario debe comenzar en una nueva línea.

    En el siguiente ejemplo, .htpasswd contiene las contraseñas codificadas para los usuarios webmaster y fulano:
webmaster:$1$FLO9omPh$Toese7ZrlHgsbdYy/JvzA1
fulano:$1$WSEgdzA/$qL9.vM4HivWYsp7E9DHbm/

Cargar .htaccess y .htpasswd a /wp-admin

Para habilitar la protección por contraseña, suba los archivos que acaba de crear al directorio /wp-admin bajo su directorio WordPress en el espacio web. La protección por contraseña se activa inmediatamente.

A tener en cuenta: Si ya utiliza su propio .htaccess para el directorio /wp-admin por otras razones, entonces éstas se sobrescribirán en el transcurso de este manual. Sin embargo, puede simplemente descargar su archivo.htaccess anterior, añadir las nuevas líneas allí, ajustarlas y luego cargar el archivo de nuevo.

Nota: Si desea desactivar la protección por contraseña, simplemente elimine ambos archivos de su espacio web.

Resolución de problemas

Si la protección con contraseña no funciona, compruebe los siguientes puntos:

  • ¿Es correcta la ruta del archivo .htpasswd especificada en el archivo .htaccess?

  • ¿Los nombres de usuario en los archivos .htaccess y .htpasswd son realmente los mismos (preste atención en las mayúsculas y minúsculas)?

  • ¿Ha introducido también la contraseña de forma encriptada en el archivo .htpasswd?

  • ¿Ha subido los archivos al directorio correcto (/wp-admin)?

  • ¿Ha introducido la contraseña de forma encriptada en el archivo .htpasswd?