La pantalla de login de WordPress es esa puerta gris con el logo azul que llevas viendo desde 2003 y que sigue ahí, idéntica, en el 80% de los sitios. La buena noticia es que cambiarla no exige tocar código: con uno o dos plugins decentes puedes ponerle el logo de tu marca, mover la URL para que los bots dejen de aporrearla y meterle un segundo factor para que un volcado de contraseñas robadas no te tumbe la web.
Esta guía repasa diez plugins probados que cubren tres frentes a la vez: maquillaje (logo, fondo, colores), funcionalidad (login social, redirecciones, modales) y seguridad (límite de intentos, 2FA, cambio de URL). No están todos los que son, pero los que están funcionan, se mantienen y los usan miles de instalaciones en producción.
Hay dos razones para no dejar el login por defecto, y ninguna es estética pura. La primera es de marca: si tu web es una membresía, una intranet de cliente, una academia online o cualquier sitio donde el usuario se loguea cada semana, esa pantalla es parte de la experiencia. Verla con el logo de WordPress en lugar del tuyo es como entrar a una oficina y encontrarte el cartel de la inmobiliaria todavía en la puerta.
La segunda es seguridad pura y dura. /wp-login.php es la ruta más atacada de cualquier WordPress. Los bots no necesitan saber nada de tu sitio: prueban combinaciones de usuario y contraseña a saco, hasta que aciertan o hasta que el servidor se cae por la carga. Cambiar esa URL, limitar intentos y meter un segundo factor reduce la superficie de ataque de manera muy seria. Si quieres el cuadro completo, en su día explicamos las buenas prácticas de seguridad y contraseñas que conviene tener antes incluso de instalar el primer plugin.
La selección mezcla customizadores visuales, plugins de login social y herramientas de seguridad. Lo normal es que acabes con dos o tres instalados a la vez: uno que cambie la cara, otro que cierre la puerta y, si abres registro al público, uno que añada login con redes sociales.
Probablemente el customizador de login más usado del repositorio, con más de 400.000 instalaciones activas. LoginPress integra todo el rediseño dentro del Customizer nativo de WordPress, así que ves los cambios en tiempo real sin pelearte con paneles propietarios. Cambias el logo, el fondo (color, imagen o degradado), las tipografías, los textos por defecto, los enlaces del pie y hasta el mensaje de error cuando alguien falla la contraseña.
La versión gratuita cubre el 90% de los casos. La Pro añade plantillas prediseñadas, redirecciones por rol, login con captcha incorporado y limitación de intentos. Para una marca que solo quiere cambiar el logo y el color de fondo, la free sobra. Si gestionas una membresía con varios roles, la Pro empieza a tener sentido.
Theme My Login es otra cosa: en lugar de redecorar wp-login.php, lo sustituye por páginas normales de WordPress que heredan el tema activo. El resultado es que el login, el registro y el formulario de «he olvidado mi contraseña» se ven exactamente igual que el resto de tu web, con el header, el footer y los estilos del theme.
Es el enfoque que tiene más sentido cuando no quieres que el usuario perciba que está saliendo de tu sitio para autenticarse. Soporta redirecciones por rol, shortcodes para meter el formulario en cualquier página y extensiones de pago para invitaciones, restricción de contenido y registro personalizado. Suele convivir bien con la mayoría de page builders, incluido Elementor si quieres maquetar la página de login a tu gusto.
Branda, de WPMU DEV, va un paso más allá: no solo personaliza el login, también cambia toda la experiencia de marca dentro de WordPress. Footer del admin, favicon, colores del backoffice, página de mantenimiento, modo «coming soon» y, por supuesto, la pantalla de login con plantillas listas para usar. Es el plugin que solemos recomendar a agencias que entregan sitios a cliente final, porque permite borrar cualquier rastro visual de WordPress sin tocar una línea de código.
La versión gratuita es generosa de verdad, no de mentira: el rediseño completo del login está incluido. Si ya estás dándole vueltas al backoffice, te interesa repasar las mejores plantillas para el admin de WordPress, porque Branda combina muy bien con cualquiera de ellas.
El plugin de Colorlib es la opción rápida cuando no quieres pasar la tarde tocando opciones. Trae más de 30 plantillas listas, todas responsive, todas con un nivel de acabado bastante por encima de lo que suele verse en plugins gratuitos. Eliges plantilla, cambias el logo, ajustas dos colores y ya tienes una página de login que parece hecha por un diseñador.
Es el típico plugin para proyectos pequeños o medianos en los que no merece la pena diseñar nada desde cero. Donde flojea es en flexibilidad: si quieres mover elementos píxel a píxel, te quedas corto. Para eso, mejor LoginPress o un page builder con Theme My Login.
Erident Custom Login and Dashboard es uno de los veteranos que sigue activo y mantenido. Cambia el aspecto del login y, además, te deja personalizar partes del dashboard: el footer del admin, el saludo de la barra superior, el texto del pie del backoffice. Es ligero, no añade tablas a la base de datos y se configura desde una sola pantalla de opciones.
Funciona bien si lo que quieres es un control fino sobre logo, fondo, tamaño del formulario y opacidad. No tiene plantillas predefinidas: aquí montas todo a mano. Combina de maravilla con un buen rediseño del backoffice, en plan cómo conseguir un admin profesional en WordPress.
El clásico Custom Login, mantenido por Extendd, sigue siendo una opción válida si lo que necesitas es lo justo: cambiar el logo, el fondo, el color del botón y poco más. Cero complicaciones, cero ajustes que no entiendas, configuración en cinco minutos. Para un blog personal o una web corporativa pequeña, sirve sin más.
El extra interesante está en su soporte para tipografías personalizadas: puedes cargar fuentes de Google Fonts directamente desde el plugin sin instalar nada más. Si tu marca tiene una tipografía concreta, esto te ahorra una llamada extra a un servicio externo.
Cuando tu web abre registro al público, pedir email y contraseña reduce conversiones. Nextend Social Login resuelve ese problema añadiendo botones de login con Google, Facebook, X y Apple en el formulario nativo de WordPress, en WooCommerce y en cualquier plugin de membresías serio. La versión gratuita cubre las cuatro redes principales; la Pro añade LinkedIn, GitHub, TikTok, Twitch y otras seis o siete, además de sincronización de avatar y sustitución del nombre.
Lo que hace bien Nextend es que no se mete con la pantalla, solo añade botones. Eso significa que puedes usarlo a la vez que LoginPress, Branda o cualquier otro customizador sin choques. La parte engorrosa es que tienes que crear la app en cada red social y meter las claves OAuth a mano, pero es un trabajo de una vez.
WPS Hide Login hace una sola cosa: cambia /wp-login.php por la URL que tú quieras. /acceso, /entrar, /clientes, lo que sea. A partir de ahí, cualquier bot que intente entrar por la ruta clásica se choca con un 404 y se va. Más de un millón de instalaciones activas, mantenido, súper ligero, no toca el .htaccess ni la base de datos.
Es una de las mejores relaciones esfuerzo-resultado de toda esta lista: cinco minutos de configuración para reducir entre el 60% y el 80% del tráfico de bots de fuerza bruta que recibe un WordPress típico. Eso sí, apunta la nueva URL en algún sitio, porque si la pierdes vas a tener un mal rato. Si quieres complementarlo con bloqueo a nivel de servidor, en la guía de cómo bloquear bots de spam con Fail2Ban está el paso siguiente.
El sustituto natural y mantenido del viejo Limit Login Attempts. Limit Login Attempts Reloaded bloquea la IP de quien falle X intentos seguidos durante el tiempo que tú marques. Por defecto, 4 intentos y 20 minutos de bloqueo. Esto solo, sin más medidas, ya neutraliza la mayoría de ataques de fuerza bruta automática.
Lleva dashboard con histórico de intentos, lista blanca de IPs (importante si trabajas desde un coworking con NAT), notificación por email y la opción de bloquear países enteros desde un mapa. La versión gratuita es de las más completas del repositorio en su categoría. Si prefieres una solución todo-en-uno con 2FA, social login y límites en un solo plugin, échale un ojo a FluentAuth, que va por ese camino.
El plugin oficial mantenido por colaboradores del propio equipo de WordPress. Añade autenticación en dos pasos al login con varios métodos: app TOTP (Google Authenticator, Authy, 1Password), email, claves de seguridad U2F y códigos de respaldo. No tiene panel bonito ni promesas de marketing, pero hace exactamente lo que dice y se actualiza al ritmo del core.
Si solo vas a instalar un plugin de seguridad de toda esta lista, que sea este. Una contraseña filtrada deja de ser un problema cuando el atacante necesita además el código de tu móvil. Para el paso a paso completo de configuración tienes la guía de cómo proteger WordPress con Two-Factor.
La pregunta correcta no es «cuál es el mejor», sino «para qué necesito tocar el login». La respuesta cambia mucho la elección.
Los hemos visto muchas veces y se repiten en clientes nuevos cada semana. Apunta:
En la pantalla de login, sí, un poquito: cargas un par de hojas de estilo extra y, si metes una imagen de fondo, su peso. En el resto del sitio, no se nota nada porque estos plugins solo se ejecutan en wp-login.php y rutas asociadas. Pesa más optimizar imágenes del front que preocuparte por estos plugins.
Sí, siempre que apuntes la nueva ruta. El plugin no añade vulnerabilidades, solo intercepta la petición y la redirige. La capa de protección que aporta es real: bloquea el grueso del tráfico automático que apunta directamente a /wp-login.php. No sustituye al doble factor ni al límite de intentos, pero los complementa muy bien.
Para personalización visual, no: te van a chocar los estilos. Para combinar funciones, sí. Lo habitual es un customizador (LoginPress o Branda), uno de seguridad (Limit Login Attempts Reloaded), uno de doble factor (Two-Factor) y, si abres registro, uno de login social (Nextend). Cuatro plugins que conviven sin pelearse.
Conecta por FTP o desde el panel del hosting al directorio /wp-content/plugins/ y renombra la carpeta del plugin que dio el problema añadiéndole -off al final. WordPress lo detectará como inactivo y te dejará entrar al panel. Desde ahí, lo borras o lo reinstalas con la configuración correcta.
Funciona, pero Meta ha endurecido bastante el proceso de aprobación de las apps OAuth en los últimos años. Para una web personal o una membresía pequeña, el proceso puede ser desproporcionado. Google, Apple y X siguen siendo más sencillos de configurar y, además, son los que más usa la gente. Si abres a varias redes, prioriza por ahí.
Esa sería la radiografía actual de los plugins que merecen la pena para tocar el login de WordPress. La recomendación práctica: empieza por seguridad (cambiar URL, limitar intentos, doble factor) y luego dedícale media tarde a la parte visual. El orden inverso es más divertido, pero deja la web igual de expuesta que estaba.
Sergio says:
Hola Jorge
Quizas sepas como o con que plugins superar el problema que tengo. Estoy construyendo un multisitio en wordpress, quiero permitir el registro voluntario, previa respuesta de email par activación de cuenta, hasta hace poco usé el plugins Easy Wp Smtp, para el registro y funcionaba bien, enviaba el correo y al hacer clic en el enlace que enviaba al correo se activa la cuenta, pero después me di cuenta que la instalación como estaba,
no servía a mis propósitos, por tanto configuré wordpress para multisitio y desde eso, no me funciona Easy Wp Smtp me contesta que no es posible la conexión con el servidor Smtp, si sabes como solucionarlo, agradecería mucho tu ayuda
Atte
Tom says:
Siempre envío esta página web por correo electrónico a todos mis contactos, ya que si les gusta leerla, mis enlaces también lo harán.