Enter
  • Blogs
  • ¿Cómo...
  • Cómo usar .htaccess para bloquear una dirección IP en la página de inicio de sesión de WordPress

¿Cómo... / 8 min de lectura

Cómo usar .htaccess para bloquear una dirección IP en la página de inicio de sesión de WordPress

colorful programming code over a black computer screen

.htaccess (acceso de hipertexto) es un archivo de configuración que se usó para agregar o cambiar características en sitios web alojados con Apache Web Server, un software de servidor web gratuito y de código abierto. El archivo .htaccess te permite bloquear una dirección IP específica de acceder a la página de inicio de sesión de tu WordPress, entre muchas otras funciones.

Dependiendo de tus necesidades y preferencias, quizás quieras usar este archivo para asegurarte de que solo tu dirección IP y las de tus otros administradores que manejan tu sitio puedan ingresar al panel de administración.

Si ese es el caso, seguí leyendo para aprender cómo acceder al archivo .htaccess y agregar los comandos necesarios para asegurar tu página de inicio de sesión.

Aspectos Clave

  • Podés usar el archivo .htaccess para agregar comandos que te permitan bloquear todas las direcciones IP, excepto unas pocas autorizadas, de acceder a tu página de inicio de sesión.
  • Podés acceder al archivo .htaccess a través de FTP, un panel de control de hosting como cPanel o el plugin Yoast SEO. 

¿Por Qué Bloquear Direcciones IP Desde el Inicio de Sesión de WordPress Con el Archivo .htaccess?

La página de inicio de sesión de WordPress, que generalmente se encuentra en https://wcanvas.com/wp-login.php, es donde accedés al panel de administración. Sin embargo, por defecto, el panel de administración permite que cualquier usuario con tu contraseña acceda desde cualquier dirección IP.

Esto te da mucha flexibilidad para iniciar sesión desde cualquier lugar, pero también podría permitir que alguien con tu contraseña entre desde cualquier parte del mundo.

Como quizás ya sepas, las direcciones IP son similares a las direcciones digitales que identifican la ubicación de un dispositivo. Si querés asegurar la página de inicio de sesión de tu sitio, te puede interesar limitar las direcciones IP que pueden acceder a ella solo a tu dirección IP y las de tus colaboradores más cercanos.

Bloquear todas las direcciones IP, excepto una o unas pocas autorizadas, asegura que solo dispositivos de confianza puedan acceder a tu sitio.

Esto significa que cualquier persona que intente entrar a tu sitio con una dirección IP fuera del rango autorizado se encontrará con un error 403 Prohibido, protegiendo tu sitio de ataques de fuerza bruta y otros tipos de intentos de hacking.

3 Métodos Para Bloquear una Dirección IP Desde el Inicio de Sesión de WordPress Con el Archivo .htaccess

Ahora que sabemos por qué tal vez quieras bloquear el acceso a tu administrador con el archivo .htaccess, exploremos los diferentes métodos para acceder a este archivo y bloquear cualquier IP no autorizada desde la página de inicio de sesión.

Nota: Recuerda que el archivo .htaccess solo está disponible en servidores que utilizan el software Apache Web Server. Si tu sitio está alojado en un servidor Nginx o en otro tipo de servidor, es probable que .htaccess no esté disponible.

Método #1: Acceder al archivo .htaccess con un cliente FTP

El primer método para acceder a tu archivo .htaccess y bloquear direcciones IP es utilizando un cliente de Protocolo de Transferencia de Archivos (FTP) como FileZilla para conectarte a tu servidor web. FileZilla es gratis y lo podés descargar desde el sitio oficial.

Después de instalarlo, abrí la aplicación e ingresá el host, nombre de usuario, contraseña y puerto. Tu proveedor de hosting debería tener tu información de FTP. Contactalos o revisá la configuración de tu cuenta de hosting para conseguirla.

La interfaz de FileZilla. Varias flechas apuntan a los campos de host, nombre de usuario, contraseña y puerto

Una vez que te conectás, verás las carpetas de tu servidor.

La interfaz de FileZilla. Un cuadrado resalta las carpetas en el servidor remoto.

Navegá hasta la carpeta public_html de tu sitio (a veces llamada simplemente public o /). Vas a ver el archivo .htaccess entre los diferentes archivos sueltos y las 3 carpetas principales de WordPress (wp-admin, wp-content, wp-includes).

La interfaz de FileZilla. Un cuadrado resalta el archivo de configuración .htaccess en el servidor remoto

Hacé clic derecho sobre él y seleccioná Ver/Edit.

La interfaz de FileZilla. El usuario hizo clic derecho en el archivo de configuración .htaccess y presionó la opción Ver/Edit en el menú contextual

Tu sistema operativo lo abrirá con el editor de texto predeterminado.

El contenido del archivo .htaccess de un sitio de WordPress

Ahora es el momento de añadir los comandos que bloquearán todas las direcciones IP de acceder a tu página de login, excepto un puñado de autorizadas. Agregá el siguiente código de configuración en la parte superior del archivo, justo debajo de las primeras líneas de comentario.

<Files wp-login.php>
        order deny,allow
        Deny from all

# Permitir tu dirección IP
allow from xx.xx.xx.xx

# Permitir la dirección IP de otros administradores 
allow from xx.xx.xx.xx

</Files>

Este código bloquea todas las direcciones IP de acceder a tu página de login, excepto las que están en las declaraciones allow from.

Recordá reemplazar xx.xx.xx.xx con tu dirección IP real y las de tus otros administradores, si los tenés. Para saber tu dirección IP, usá una herramienta como What Is My IP Address y ingresá la dirección IP que te devuelva la herramienta.

Como esto:

El contenido del archivo .htaccess de un sitio WordPress. Un cuadrado resalta los comandos necesarios para bloquear todas las direcciones IP de acceder a la página de login, excepto algunas autorizadas

Guardá los cambios y cerrá el archivo.

Después de guardar tus cambios, cualquier usuario que intente acceder a tu página de login desde una dirección fuera del rango IP autorizado recibirá un error 403 Forbidden.

Método #2: Acceder al archivo .htaccess con tu panel de control de hosting

Si tu proveedor de hosting tiene un software de panel de control como cPanel, podés repetir el proceso del primer método, ya que los pasos son prácticamente los mismos.

Si tu proveedor usa cPanel, accedé a él a través de tu-dominio.com/cpanel. Iniciá sesión en tu cuenta de cPanel y dirigite a File Manager desde el panel principal.

El botón File Manager de cPanel en la sección de Archivos

Luego, andá al directorio que lleva a tu ruta de instalación. Generalmente será public_html, pero puede ser diferente en tu caso.

La interfaz del File Manager de cPanel, con una flecha apuntando al directorio public_html

Una vez que accediste, deberías ver el archivo .htaccess entre los varios archivos sueltos y las 3 carpetas principales de WordPress (wp-admin, wp-content y wp-includes).

Interfaz del Administrador de Archivos de cPanel, con una flecha apuntando al archivo .htaccess

Hacé clic derecho sobre él y seleccioná Ver/Editar, luego agregá el siguiente código de configuración debajo de las primeras líneas de comentarios.

<Files wp-login.php>
        order deny,allow
        Deny from all

# Permitir tu dirección IP
allow from xx.xx.xx.xx

# Permitir la dirección IP de otros administradores 
allow from xx.xx.xx.xx

</Files>

Este código bloquea todas las direcciones IP de acceder a tu página de inicio de sesión, excepto las que están en las declaraciones allow from. Sustituí xx.xx.xx.xx por tu dirección IP real y las de tus otros administradores, si los tenés.

Ahora, tu página de inicio de sesión va a bloquear intentos de acceso de cualquier dirección IP fuera del rango autorizado que acabás de establecer.

Método #3: Acceder al Archivo .htaccess Con Yoast SEO

Si ya tenés instalado Yoast SEO, esta es la forma más fácil de modificar tu archivo .htaccess porque el plugin tiene una función que te permite acceder y editarlo rápidamente.

Andá a Yoast > Herramientas desde el panel de control.

La opción "Herramientas" en el menú del panel de control de Yoast SEO

En la pantalla de Herramientas, desplazate hacia abajo hasta que veas el enlace Editor de Archivos y hacé clic en él. 

Pantalla de "Herramientas" de Yoast SEO, destacando la función "Editor de Archivos"

Ahora desplazate hacia abajo hasta que veas un cuadro de texto etiquetado como archivo .htaccess

Cuadro de texto de Yoast SEO para modificar el archivo .htaccess

Agregá el siguiente código de configuración al principio del archivo, después de las primeras líneas de comentarios.

<Files wp-login.php>
        order deny,allow
        Deny from all

# Permitir tu dirección IP
allow from xx.xx.xx.xx

# Permitir la dirección IP de otros administradores 
allow from xx.xx.xx.xx

</Files>

Recordá usar una herramienta como What Is My IP Address para chequear tu dirección IP y pedile a tus colaboradores que compartan la suya para que las puedas añadir a la lista de acceso.

Tu archivo .htaccess podría verse algo así después de editarlo:

El contenido del archivo .htaccess de un sitio WordPress. Un recuadro destaca los comandos necesarios para bloquear todas las direcciones IP de acceder a la página de inicio de sesión, excepto algunas autorizadas

Después de hacer tus ediciones, bajá y hacé clic en el botón Save changes to .htaccess.

La interfaz de administración de WordPress para el plugin Yoast SEO. Una flecha destaca el botón "Save changes to .htaccess" debajo de un cuadro de texto para editar el archivo .htaccess

Una vez que guardaste tus cambios, cualquier usuario que intente acceder a tu página de inicio de sesión desde una dirección fuera del rango de IP autorizadas recibirá un error 403 Forbidden.

Usá el archivo .htaccess para bloquear direcciones IP desde la página de inicio de sesión de WordPress

Ahora ya sabés cómo usar el archivo .htaccess para bloquear direcciones IP desde la página de inicio de sesión de WordPress. Todo se reduce a saber cómo acceder a él y qué comandos agregarle.

En este artículo, te mostramos varios métodos para acceder a este archivo de configuración y permitir solo tu dirección IP y la de otros administradores, si los tenés. Esperamos que puedas usar esta información para añadir otra capa de protección a tu sitio.

Si encontraste útil este post, leé nuestro blog y recursos para desarrolladores para más insights y guías!