Ahora mismo, mientras lees esto, hay bots probando la puerta de entrada de miles de sitios WordPress en Chile. No es una figura literaria: es tráfico automático constante que recorre internet buscando /wp-admin y /wp-login.php para intentar adivinar la contraseña de administración. Tu sitio no necesita ser interesante para recibir ese tráfico. Le basta con ser un WordPress con el login en el lugar de siempre.
La buena noticia es que blindar ese acceso no requiere ser experto ni gastar plata. Se trata de sumar unas pocas capas simples, y la mayoría son gratis.
Por qué el login es el blanco favorito
WordPress mueve más de un tercio de la web, y pone el formulario de acceso en un lugar predecible: /wp-admin o /wp-login.php. Esa predictibilidad es justo lo que aprovecha un atacante, porque le permite automatizar todo.
Los tres ataques que verás una y otra vez son los mismos:
- Fuerza bruta: probar millones de combinaciones de contraseña hasta acertar.
- Ataque de diccionario: probar las contraseñas más comunes (
123456,admin2024, el nombre del negocio) que la gente sigue usando. - Password spraying: probar una sola contraseña común contra muchos usuarios, para no gatillar bloqueos.
No hay un humano detrás escribiendo cada intento. Es un script que corre solo, es barato y no descansa: un único servidor puede probar miles de combinaciones por minuto contra tu login. Por eso el acceso sin protección es de los hallazgos más frecuentes cuando revisamos sitios chilenos.

Las capas de defensa, de la más simple a la más robusta
Acá no hay una bala de plata. La protección no viene de una sola solución mágica, sino de sumar capas: cada una sube el costo del ataque, y juntas dejan tu login fuera del alcance de lo automatizado. Estas son, ordenadas de la más fácil de aplicar a la más robusta.
1. Oculta o cambia la URL de login. La capa más simple y una de las más efectivas. Los bots buscan /wp-admin; si tu acceso vive en otra ruta, la enorme mayoría del tráfico automático ni siquiera lo encuentra. Un plugin gratuito como WPS Hide Login lo resuelve en un minuto.
2. Pon un captcha en el formulario. Un desafío que las personas pasan sin esfuerzo pero que frena a los bots. Cloudflare Turnstile es gratis, casi invisible para el usuario, y corta en seco los intentos automatizados.
3. Frena el tráfico antes de que llegue a tu servidor. Si usas Cloudflare u otro CDN/WAF, puedes ponerle un managed challenge o un límite de velocidad directamente a /wp-login.php. Así el ataque se detiene en el borde y nunca golpea tu WordPress.
4. Limita los intentos de acceso. Plugins como Limit Login Attempts o Wordfence bloquean una dirección IP tras unos pocos intentos fallidos. Es lo que le quita sentido a la fuerza bruta: si tras cinco errores la IP queda bloqueada, probar millones de contraseñas deja de ser una opción.
5. Activa el segundo factor (2FA). Esta es la que de verdad blinda las cuentas. Aunque un atacante adivine la contraseña, sin el código que aparece en tu teléfono no entra. Hay plugins gratuitos de 2FA para WordPress; actívalo al menos en las cuentas de administración.
6. No uses el usuario admin y bloquea la enumeración de usuarios. Si el atacante no conoce el nombre de usuario, tiene que adivinar dos cosas en vez de una. Evita el clásico admin, y evita que WordPress revele los nombres de usuario a quien los pida.

No necesitas las seis capas desde el primer día. Con ocultar el login, un captcha y un límite de intentos ya cortas la enorme mayoría del ruido automatizado. El 2FA es el que realmente protege la cuenta cuando todo lo demás falla.
Esto no es solo de WordPress
Aunque acá hablamos de WordPress porque es el caso más común, el problema es el mismo en cualquier formulario de acceso: el panel a medida de tu empresa, la tienda online, la intranet. Todos son un login expuesto a internet, y todos reciben el mismo tráfico automático.
Los principios no cambian: no dejes el acceso en la ruta obvia, exige algo más que usuario y contraseña, y frena los intentos automáticos antes de que se acumulen. Si tienes un login, esto te aplica.
Lo que hacemos nosotros
En Asentic aplicamos exactamente estas capas en nuestros propios sitios. El acceso de administración de asentic.cl y de nuestros proyectos no vive en la ruta por defecto y suma varias de estas protecciones. No te pedimos que confíes en la teoría: es lo que corremos en casa, porque es la misma diferencia entre los sitios que terminan filtrados en foros y los que no.
Cómo saber si tu login está expuesto
Antes de configurar nada, conviene saber en qué estás parado. Nuestro FreeScan revisa esto gratis y sin registro: te dice si tu /wp-admin está accesible en la ruta por defecto sin captcha, sin challenge ni límite de intentos aparente, entre otras cosas de la postura de tu sitio. Puedes correrlo ahora en scan.asentic.cl.
Si prefieres que lo revisemos y endurezcamos por ti —el login y todo lo demás—, eso es parte de nuestro servicio de Blue Team y hardening. Pero incluso si lo haces solo, con las capas de este artículo tu WordPress deja de ser el blanco fácil que los bots buscan.