En ocasiones, tras un periodo largo de tiempo sin usar una web o después de sufrir un hackeo, algo tan sencillo como entrar al login WordPress y acceder a nuestro panel de administración es la más compleja de las tareas.
Como desarrollador WordPress y solucionador de problemas, el primer escollo con el que tengo que tratar siempre es el acceso WordPress. Por eso, aquí te cuento cómo acceder desde la forma más sencilla hasta la más pro de todas.
1. ¿Cómo acceder a WordPress normalmente?
En una web hecha en WordPress existen varias formas de acceder por defecto al interior del panel de administración. Si no hay ningún plugin de seguridad que altere estas vías y disponemos de un usuario con los permisos necesarios, para WordPress acceder es tan sencillo comoañadir lo siguiente a la dirección de tu web:
- /wp-admin
- /wp-login.php
Es decir, si tu web se llama https://webmolona.com, bastará con que escribas en la barra de direcciones de tu navegador:
- https://webmolona.com/wp-admin
- https://webmolona.com/wp-login.php
En ambos casos acabarás viendo la pantalla estándar de acceso WordPress.
2. ¿Acceso WordPress cuando wp-admin no es la URL de acceso?
En ocasiones, nuestro celo por la seguridad puede jugarnos malas pasadas. Hay plugins, hay métodos, que permiten alterar la dirección de acceso anterior. En esos casos, añadir wp-admin a nuestra URL no tendrá el efecto que queremos, sino que mostrará una pantalla de error.
Puedes probarlo en esta misma web, añadiendo wp-admin al final para ver de qué hablo.
Si esto sucede, la opción más rápida y segura es desactivar el plugin que oculta el login WordPress. ¿Cómo? Te lo cuento en este tutorial.
3. ¿Cómo recuperar el acceso a WordPress después de un hackeo?
Es más habitual de lo que parece recibir correos pidiendo ayuda cuyo título reza algo similar a «no puedo acceder a WordPress». La mayoría de las veces, me temo, el problema suele ser un error en la contraseña que se soluciona reseteándola y generando una nueva.
Sin embargo, hay veces en las que un hackeo satisfactorio nos borra el usuario de administración, le quita sus permisos o hace cosas más imaginativas como cambiar la página de login. ¿Cómo podemos hacer frente a algo así?
De una forma conservadora y de otra un poco más… brusca:
3.1. Crear un usuario de administrador WordPress vía PHP
Mi método favorito para estos casos es aprovecharnos del hecho de que somos los administradores del hosting. En ese caso, tendremos acceso a los archivos y carpetas que conforman nuestra web.
Bastará con que nos conectemos a través de nuestro método favorito (panel de hosting, FTP…) y naveguemos hasta:
public_html > wp-content > mu-plugins
Si la carpeta mu-plugins no existe, tendrás que crearla. Una vez hecho, dentro crearemos un fichero que llamaremos crear-admin.php y contendrá lo siguiente:
<?php | |
/* | |
Plugin: crear usuario administrador | |
Donate link: https://www.paypal.me/davidolier | |
Description: Crear usuario administrador en WordPress via PHP | |
Author: David Olier | |
Author URI: https://davidolier.com/ | |
License: GPLv2 or later | |
License URI: http://www.gnu.org/licenses/gpl-2.0.html | |
*/ | |
add_action( 'init', 'do_admin_user' ); | |
function do_admin_user() { | |
$usuario = 'administrador'; | |
$password = 'contrasena'; | |
$direccion_email = 'admin@tuweb.com'; | |
if ( ! username_exists( $username ) ) { | |
$user_id = wp_create_user( $usuario, $password, $direccion_email ); | |
$user = new WP_User( $user_id ); | |
$user->set_role( 'administrator' ); | |
} | |
} |
Lo único que tendrás que hacer es sustituir el valor de usuario, de password y de direccion_email por los valores que quieras que tenga este nuevo usuario de administración.
Cuando recuperes acceso al interior de WordPress, podrás crear un usuario de la forma habitual y borrar este fichero/usuario si lo deseas.
3.2. Cargar una copia de seguridad anterior
Si estamos seguros de que hemos sufrido un hackeo que ha borrado nuestro usuario (y no somos nosotros los que hemos olvidado el email, nickname o contraseña de nuestro administrador), siempre nos quedará volcar una copia de seguridad completa de un momento anterior.
Para hacerlo, primero deberemos asegurarnos de que nada importante ha cambiado en el periodo de tiempo que vamos a sobreescribir o que, en su defecto, tenemos una copia de todo lo que hemos hecho.
Una vez estamos seguros de que no perderemos nada, utilizaremos la herramienta de copias de seguridad que solamos usar para volver a cargar la copia en la cual nuestra web funcionaba bien.
Lo más importante una vez hecho esto, es asegurarnos de que el hackeo no vuelva a suceder. Deberemos actualizar la web y su seguridad para que el «ladrón» no pueda volver a entrar. Además, deberemos desinfectar la instalación completa para que no se queden puertas traseras activas.
3.3 No puedo acceder a WordPress wp-admin
Como decía al principio, hay situaciones excepcionales en las que el hackeo va más allá de cambiar tu usuario y lo que hace es cambiar el acceso a tu panel de administración.
Son muchas y muy diversas las formas en las que han podido hacerlo y cada una tiene una solución particular, pero esta lista de acciones quizá te ayude a recuperar el acceso a tu wp-admin.
- Si tu web tenía un sistema de login (ecommerces, academias…), prueba a utilizarlo. En ocasiones esto hace que puedas «ver» la nueva dirección de tu wp-admin.
- Contacta con tu proveedor de hosting. Algunos, como el que uso yo, tienen un servicio de soporte que va más allá al ayudar a sus clientes y quizá tengan una solución.
- Desactiva todos los plugins (o uno a uno) para ver si recuperas el acceso.
- En este punto, si sigues sin acceder a tu WordPress wp-admin, quizá te convenga contratar a un profesional…
- … o puedes cargar una copia de seguridad de un día anterior en el que sí tuvieras acceso.
Eso sí, una vez cargues la copia asegúrate de limpiar la instalación. Escanea tu web, usa algún plugin antimalware o pregunta a tu hosting a ver si tienen alguna herramienta de escaneo a nivel de servidor.
Porque si no limpias la infección, quizá vuelva a sucederte.
4. En resumen
Si intentas entrar a tu web y no puedes, empieza pensando en las cosas más habituales y sencillas (usuarios y contraseñas) antes de pasar a preocuparte por un hackeo o algo peor.
Cuando agotes esas posibilidades, pregunta a tu hosting a ver si saben qué ha pasado o pregunta en tu entorno a ver si a alguien más le ha pasado. Quizá haya un plugin corrupto o quizá se haya caído tu servidor. No es habitual, pero puede pasar.
Por último, cuando ya agotes tus posibilidades y sigas sin poder acceder a tu WordPress wp-admin, aplica las opciones que te comentaba encima y en última instancia (o en primera, si tu urgencia es alta) contacta con un profesional WordPress.
¿Quieres que hablemos?
Entonces apúntate a ese newsletter que envío cada día y pregúntame lo que quieras en el primer correo que te envíe:
Si te atreves, aquí hablamos de temas incómodos que te hacen crecer por encima de tus posibilidades
Te apuntas con un click y recibes un email cada día. Si no tienes el valor de enfrentarte a ellos, te desapuntas con otro click