Inicio/Documentos/WordPress/Seguridad y mantenimiento del sitio web/Seguridad del sitio web/Detalles del contenido

Deshabilitar la edición de archivos del backend de WordPress y ocultar la dirección de inicio de sesión del backend

2 minutos de lectura
Jiangsu
2025-10-21
7,689
Gano comisiones cuando compras a través de los enlaces de abajo, sin coste adicional para ti.

Además de las actualizaciones periódicas, WordPress dispone de dos opciones de seguridad de "bajo coste y alto rendimiento":Desactivar la edición de archivos en segundo planoYOcultar la dirección de acceso a backstage. Estas dos operaciones pueden cortar directamente las vías de invasión más utilizadas por los hackers (como modificar los archivos principales a través de lagunas y romper violentamente las contraseñas de inicio de sesión), y la configuración es lo suficientemente sencilla como para que los novatos puedan completarla fácilmente. Esta sección explicará en detalle los pasos y principios específicos.

I. ¿Por qué estas dos configuraciones?

Dos de los medios más comunes para piratear sitios WordPress son los más frecuentes:

  1. Implantación de código malicioso mediante la edición de un archivo en el backendWordPress permite por defecto a los administradores editar el código de temas y plugins directamente en segundo plano ("Apariencia → Editor de temas" "Plugins → Editor de plugins"). Una vez que un hacker obtiene privilegios de administrador a través de un resquicio legal, puede modificar los archivos principales, implantar virus, puertas traseras o manipular el contenido a través de esta función.
  2. Inicio de sesión por fuerza brutaEl inicio de sesión predeterminado de WordPress es 域名/wp-admin o 域名/wp-login.php(uniforme en toda la red), el hacker utilizará un programa para escanear masivamente esta dirección e intentará utilizar nombres de usuario comunes (como admin) e inicios de sesión con contraseñas débiles para controlar el sitio una vez que se ha tenido éxito.

Configuración 1: Desactivar la edición de archivos en segundo plano (5 minutos)

Tras desactivar la edición de archivos, las entradas "Editor de temas" y "Editor de plugins" del backend desaparecerán, lo que impedirá que los hackers (o administradores malintencionados) modifiquen el código desde la raíz.

Paso 1: Localizar y editar wp-config.php papeles

wp-config.php Es el archivo de configuración central de WordPress, que almacena la información de la base de datos y otros ajustes clave, y su modificación debe realizarse a través de la herramienta de gestión de archivos del servidor:

  1. Inicie sesión en el panel de control de su servidor (por ejemplo, Pagoda Panel) y localice el directorio raíz de su sitio web (normalmente el directorio wwwroot/你的域名/)。
  2. En el directorio raíz, busque el archivo wp-config.php Haga clic con el botón derecho en el archivo y seleccione "Editar" (si utiliza una herramienta FTP, puede descargarlo localmente y editarlo con el Bloc de notas antes de subirlo).

Paso 2: Añadir código de desactivación

En wp-config.php En el archivo, busca "/* ¡Bien, ya está, deja de editar! ¡Diviértete usándolo! */La línea de código "/*" en élsobrePega el siguiente código:

// 禁用主题和插件编辑器
define('DISALLOW_FILE_EDIT', true);

Paso 3: Guardar y verificar los resultados

  1. Guarde el archivo y cierre el editor.
  2. De vuelta en el backend de WordPress, después de refrescar la página:
    • Ve al menú Apariencia y la opción Editor de temas ha desaparecido.
    • Vaya al menú "Plugins" y la opción "Editor de plugins" ha desaparecido.
    Si aún puede verlo, compruebe que el código se ha pegado correctamente (fíjese en que los símbolos son semicoronas inglesas y que la posición está por encima de la línea especificada).

III. Configuración 2: Ocultar la dirección de inicio de sesión en segundo plano (más fácil con un plugin)

Ocultar la dirección de inicio de sesión no es eliminar la dirección predeterminada, sino añadir un nuevo portal de inicio de sesión personalizado (p. ej. 域名/my-login), mientras que se bloquea el wp-admin La página de inicio de sesión (que rebotará a un error 404 cuando se acceda a ella), para que los piratas informáticos no puedan encontrar el portal de inicio de sesión.

Plugin recomendado: WPS Hide Login (gratuito, ligero)

Desactivar WordPress Backend Edición de archivos y ocultar la dirección de inicio de sesión Backend - LikaCloud
  1. Instalación de plug-ins: Vaya a "Complementos→Instalar Complementos" en segundo plano, busque "WPS Hide Login", haga clic en "Instalar" y "Activar".
  2. Configurar una dirección de acceso personalizadaDespués de la activación, vaya a la página "Settings→WPS Hide Login", y en el cuadro de entrada "Login URL", rellene la ruta personalizada que desea establecer (le sugerimos que sea simple y memorable, como). myadmin"login2023").
    • Ejemplo: Introducir dashboardLa nueva dirección de acceso es 域名/dashboardLa "URL de redirección" puede dejarse por defecto. Deje la "URL de redirección" por defecto (los hackers serán redirigidos a una página 404 cuando accedan a la dirección antigua).
  3. Guardar y recordar la nueva direcciónHaga clic en "Guardar cambios" y el sistema entrará en vigor automáticamente.Asegúrese de anotar inmediatamente su nueva dirección de inicio de sesión(Se recomienda guardarlo en un bloc de notas o en una nota del móvil) para evitar olvidarlo y no poder iniciar sesión.

Verificar los efectos ocultos

Desactivar WordPress Backend Edición de archivos y ocultar la dirección de inicio de sesión Backend - LikaCloud
  1. con una nueva dirección (por ejemplo 域名/dashboard) Pruebe el inicio de sesión para confirmar que puede acceder al backend correctamente.
  2. Acceso a la dirección por defecto 域名/wp-admin o 域名/wp-login.phpSi está oculto, debería mostrar un error 404 o saltar a la página de inicio, lo que significa que se ha ocultado correctamente.

IV. Consideraciones clave (evitar errores operativos)

Sobre la desactivación de la edición de archivos:

  • No afecta al uso normalLos archivos pueden seguir editándose a través de FTP o del panel del servidor cuando están desactivados (sólo se desactiva la edición visual en segundo plano), sin que ello afecte a los usuarios normales.
  • ¿Y si tengo que modificar el código?Si necesita modificar el código del tema/plugin más adelante, puede borrarlo temporalmente. wp-config.php El código de desactivación añadido al código, editarlo y volver a añadirlo.
  • Los principiantes deben tener cuidado de cambiar el código manualmente: Incluso si la edición no está desactivada, no se recomienda a los principiantes cambiar el código en segundo plano (puede hacer que el sitio se bloquee).

Acerca de ocultar la dirección de inicio de sesión:

  • No olvides la nueva dirección.Este es el problema más común. Si ha olvidado su dirección de acceso personalizada, debe eliminarla con la herramienta de gestión de archivos del servidor. wp-content/plugins/wps-hide-login (la dirección de inicio de sesión predeterminada se restablece para que surta efecto una vez eliminado el plugin).
  • No lo cambie con demasiada frecuencia: Cambiar la dirección de inicio de sesión con frecuencia puede confundir la memoria, por lo que se recomienda configurarla para un uso a largo plazo.
  • Más seguridad con contraseñas segurasOcultación: Ocultar la dirección sólo hace que sea más difícil para los hackers hacerlo, y usted todavía tiene que asegurarse de que la contraseña de administrador es lo suficientemente compleja (consulte la sección 11.2).

V. Resolución de problemas comunes

1. ¿Qué pasa si quiero restaurar la edición después de haberla desactivado?

  • reeditar wp-config.php elimine el archivo define('DISALLOW_FILE_EDIT', true); El código, cuando se guarda, es restaurado por el editor backend.

2. ¿No puedo iniciar sesión desde mi teléfono móvil o plugin después de ocultar mi dirección de inicio de sesión?

  • Algunos plugins de administración móvil (por ejemplo, la aplicación oficial de WordPress) pueden depender de una dirección de inicio de sesión predeterminada, por lo que puedes marcar la casilla "Permitir el acceso a la API REST" en la configuración de WPS Hide Login (normalmente en la parte inferior de la configuración del plugin).

3. ¿Pueden los piratas informáticos encontrar la nueva dirección de inicio de sesión?

  • Evita dar tu dirección de acceso en público (por ejemplo, no la menciones en el artículo). 域名/dashboard)。
  • Las rutas personalizadas pueden modificarse periódicamente (basta con cambiarlas a través de la página de configuración del plugin) para reducir aún más la probabilidad de detección.

corto

Deshabilitar la edición de archivos y ocultar la dirección de inicio de sesión son medidas de seguridad que hacen mucho bien por poco dinero: apenas afectan al uso normal, pero son eficaces para bloquear los ataques de hacking más rudimentarios. Recuerde: deshabilitar la edición depende de modificar wp-config.phpSi desea ocultar la dirección con el complemento WPS Hide Login, asegúrese de verificar el efecto y hacer un buen registro después de la operación.

Estas dos opciones, junto con actualizaciones periódicas y contraseñas seguras, pueden crear una red de seguridad básica para su sitio web.

Etiquetas.