Proteger las cuentas de admin de WordPress fácilmente

Proteger las cuentas de admin de WordPress fácilmente


Proteger las cuentas de admin de WordPress fácilmente – Si hay algo peor que vulneren la seguridad de nuestra página web, es que consigan acceso a la cuenta de administración y tengan vía libre para cambiar configuraciones, contenido y cualquier cosa que el administrador pueda hacer en la página web. Estadísticamente, cerca del 40% de los accesos no autorizados vienen por problemas de seguridad en las cuentas de administración de WordPress, el daño, en la mayoría de ocasiones, es irreparable.

Por ello mantener nuestro WordPress seguro es vital ante cualquier situación. Hace tiempo, cuando WordPress estaba menos evolucionado, prácticamente no tenía ningún método de protección. Las versiones actuales recomiendan utilizar contraseñas seguras, los archivos son más seguros y permite cambiar el nombre del usuario de administración para evitar que los curiosos intenten adivinar la contraseña. Todo esto está bien, pero existe un método para conocer el usuario principal de administración del sitio.

http://tu-direccion.com/?author=1

Pulsando enter, nos devolverá otra URL con /author/ seguido del nombre de la cuenta de administración. Esto es un grave problema de seguridad, pues sabiendo el usuario, se puede lanzar un ataque de fuerza bruta e intentar acceder al panel de administración.

proteger usuario admin wordpress

Proteger esta vulnerabilidad es fácil

Necesitamos acceso a la base de datos de nuestra página web, generalmente, puedes acceder desde PhpMyAdmin (si estás utilizando el hosting SSD de NodeNET, mediante cPanel puedes obtener acceso a PhpMyAdmin rápidamente desde el propio panel). Una vez en PhpMyAdmin, seleccionamos nuestra base de datos y seleccionamos la tabla wp_users dándole clic en editar a la primera entrada de la base de datos (donde pone user_login 1). Nos movemos hasta la entrada user_nicename y escribimos el nombre que queramos. Éste será el falso usuario que se mostrará en la web; evidentemente, no debe de existir. Una vez hecho esto, volvemos a intentar obtener el usuario de administración y nos mostrará el nuevo que hemos puesto.

Otra manera más íntegra

Aunque la anterior manera es bastante seguro, lo mejor es bloquear el acceso completo a la etiqueta author de nuestra página web. Podemos configurar un rewrite fácilmente para impedir el acceso y que genere un error 403, a través de Apache y NGINX. Si utilizamos NGINX, sería:

location / {
    # Tus otras directivas irán aquí
    # ¡No quites nada!
    if ($args ~ “^author=\d”) { return 403; }
}
Y si utilizamos Apache, creamos una redirección a la página principal
RewriteCond %{REQUEST_URI}  ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://www.tuweb.com/real-dir/? [L,R=301]

Related Posts