proteger los usuarios en wordpress

Proteger los usuarios en WordPress. Completamos el trío de seguridad web

Proteger los usuarios en WordPress es lo que nos faltaba para completar nuestro trío de seguridad en lo referente a uno de los puntos más débiles en la cadena de seguridad: las personas.

Conoces que para protegerte de ataques de fuerza bruta, tienes que tener una contraseña fuerte, ya que serán la que buscarán combinar junto con tu nombre de usuario para entrar a tu web.

Pero si además de crear una contraseña a prueba de balas de cañon, evitas que sepan los nombres de usuarios que usas… ¿crees posible un ataque de fuerza bruta con éxito?

Pues resolvamos la parte del puzle que nos queda para completar nuestra protección.

El problema de no proteger los usuarios en WordPress

Por si te perdiste o no leíste los artículos que te he enlazado más arriba (¿de verdad?, ¡son 5 minutos y te ayudarán a mejorar la seguridad de tu web!), me repito un poco.

WordPress es el CMS más usado en Internet (22,5% de los sitios web en el mundo), y por lógica, el más atacado. Por contra WordPress es el CMS más seguro (en el ranking cuanto más abajo es mejor, están ordenados por número de vulnerabilidades). Pero tiene algunos fallos. Uno de ellos es que por defecto en la instalación pone admin como usuario administrador, y ¡encima es sencillo de recordar!, por lo que muchos usuarios novatos lo dejan.

Además uno de los ataques más frecuentes es el de fuerza bruta, que consiste en probar contraseñas aleatorias junto a un usuario conocido, es el login de nuestro WordPress, hasta que Voila! Acceso concedido. En serio, es muy sencillo. ¿Te lo demuestro? Mira el vídeo:

Para ser técnicamente exactos, no ha usado un ataque de fuerza bruta, sino un ataque de diccionario. En estos ataques se prueba el usuario con miles y miles de contraseñas hasta que da con ellas.

¿Y te has fijado como ha sacado la lista de usuarios de WordPress? Y todo en menos de dos minutos.

¿Que hubiera pasado si no hubiera tenido acceso a los usuarios de WordPress?

Pues tan sencillo que hubiera probado con los usuarios que suelen existir por defecto: admin, administrator, y poco más, y no hubiera podido acceder.

¿Te das cuenta de la importancia de que no se conozca tu usuario?

La forma más sencilla de conocer tus usuarios

No hace falta conocer linux, o manejar un programa de búsqueda de vulnerabilidades en WordPress, para conocer tus usuarios.

¿Has probado alguna vez a poner esto en la barra de direcciones?

http://tudominio.com/?author=1

Si no te sale nada… ¡genial! eso es que me haces caso, prueba con un numero superior. Si te ha salido un usuario… ¿por casualidad es tu «user»? Y si es admin, apaga y vámonos.

Puedes ir probando con números consecutivos, y la url se ira cambiando, mostrando en cada caso el alias de los usuarios existentes.

¿Y cuál es el problema? Que en la mayoría de los casos el alias es igual que tu nombre de usuario.

Y no corras al panel de control de WordPress a cambiar el alias del usuario en el perfil. Porque curiosamente, debido a un fallo, la url seguirá siendo exactamente la misma.

Si tienes un buen plugin de seguridad, probablemente si te funcione cambiar el alias, pero en mi caso usando Wordfence, y en otros usando iThemes, esto no ha sido así.

La solución más sencilla para proteger los usuarios en WordPress

No todo va a ser fácil para los malos.

Te voy a enseñar la solución mas sencilla y efectiva. ¡Pero ojo! La más sencilla no quiere decir que sea fácil, porque requiere tocar en la base de datos.

Así que escucha atentamente para saber cómo proteger los usuarios en WordPress en un pispás:

  1.  Utilizando tu plugin de copias de seguridad habitual, haz ahora mismo una copia completa. Para realizar tus copias de seguridad en WordPress puedes usar BackWPup como uso yo. No importa que tengas una copia de anoche. Haz una ahora mismo.
  2. Ahora, desde el panel de control de tu servicio de alojamiento, abre phpMyAdmin, y busca en la base de datos de tu sitio web, la tabla wp_users. ¡En serio! todavía usas el prefijo wp_, pues espero que no y tengas uno diferente, así que busca la tabla prefijotuyo_users.
  3. Abre la tabla, asegurándote que estas en la pestaña Examinar, y busca el usuario o usuarios que quieras modificar. Haciendo clic en Editar, podrás modificar sus datos, y en el campo user_nicename, debes poner el nombre de usuario que realmente quieras usar como alias. Recuerda que no debe contener espacios.

Proteger los usuarios en WordPress

A partir de ahora, cuando alguien haga clic en tu nombre de usuario, o intente la búsqueda anterior le saldra el user_nicename, en vez de tu nombre de usuario real.

Pero ¿también puedes así proteger los usuarios en WordPress contra los escaneos?

Pues realizando una prueba contra un WordPress limpio, recién instalado, sin proteger, pero con este campo modificado, saque este resultado:

Proteger los usuarios en WordPress

Y te puedo asegurar que javier-gobea no es el nombre de usuario.

Con lo cual, con un pequeño cambio en la base de datos, puedes anular completamente los ataques de fuerza bruta o de diccionario en vuestro WordPress.

Y ahora, tras tres artículos dando la lata, ¿te parece un trio completo de protección de acceso a tu web?

Recuerda leerte los dos artículos anteriores:

Y si quieres complementar tu formación en seguridad, apúntate GRATIS al curso Protege tu Blog, y tener una defensa numantina de tu blog. ¡Tienes el botón para apuntarte un poco más abajo, o en la barra lateral! ¡No lo dejes pasar!

EN ESTE ARTÍCULO:

comparte este artículo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on email

no dejes de leer...

7 comentarios en “Proteger los usuarios en WordPress. Completamos el trío de seguridad web”

  1. Hola, Javier.

    Excelente consejo, que me vino muy bien cuando me lo diste el otro día para solucionar una serie de intentos de acceso no autorizado a mi blog. ¡Solucionado!

    Gracias, crack.

    1. De nada Flo!
      Que te estén intentando acceder a tu blog usando tu propio nombre de usuario no es nada agradable, ni como para descansar tranquilo.
      Estamos acostumbrados a los inentos con «admin» peor no tan personalizados.
      ¡Me alegro haberte ayudado!
      Un abrazo.

  2. Hola Javier:

    Wow! que te puedo decir, son de esas cosas que ni te imaginas y por lo tanto son sumamente delicadas, ya que si no es por gente como tú que nos ofrece esta clase de conocimiento, todo seguiría igual de vulnerable como hasta ahora.

    Gracias por esta serie de artículos y considero que lo mejor es compartirlo.

    Saludos desde México.

    1. Hola Alberto, ¡que alegría verte por aquí!

      Pues si, te vas dando cuenta de detallitos que quedan sueltos por ahi. Por eso para proteger bien un blog no basta con instalar un plugin o hacer cuatro cosas básicas. Pero bueno, espero que con esto te ayude a tener un blog realmente seguro!

      Y gracias por compartir! Es importante para ir eliminando spam y malware de la red. Esto es como las vacunas, Si todos nos protegemos acabamos erradicando la enfermedad.

      Un abrazo.

  3. Hola Jorge,

    Muy interesante, es cierto que hay que tomar unas precauciones para evitar tener que llorar el saqueo de su propio blog!

    Sin embargo, quizá me digas que me equivoco, pero prefiero cambiar la URL de acceso al panel wp-admin y de momento no he tenido ningún tipo de ataque por fuerza bruta.

    Otra opción la da otro plugin que permite integrar la autentificación en 2 pasos, muy eficaz también pero añade un campo que completar.

    Para los que no quieren utilizar ningún plugin, pueden añadir un .htpasswd para proteger la URL del panel de login.

    Saludos.

    1. Hola Orizhial.

      Cierto que cambiar la URl es una de las soluciones más eficaces, pero como falle, nos puede dejar sin acceso, o ser incompatible con algunos plugins.

      Mejor solución es poner una doble autentificación, como comentas, o incluso ha resultado muy útil poner un plugin de captcha, tipo I’m not a robot, que con solo marcar un check, ya sabe que no eres un robot y puedes hacer login.

      En definitiva, salirnos de lo estándar, aumenta la seguridad notablemente.

      Gracias por participar.

  4. Hola Javier

    Estoy dando mis primeros pasos en el mundo de WordPress y , sinceramente, no sé nada de código, ni programación.

    Dices arriba que hay que cambiar el prefijo wp. ¿Cómo se hace? ¿Podrías darme alguna indicación?

    Quiero agradecerte además toda tu información sobre seguridad. Me ha sido realmente útil. Gracias a tus consejos tengo bastante tranquilidad. Estoy asombrada de que haya intentos de acceso al blog, ya desde el primer día que lo puse en los buscadores.

Los comentarios están cerrados.

Acceso gratuito
a la Academia de
Hormigas en la Nube

+20 cursos disponibles sobre herramientas, marketing y ventas

Por tiempo limitado estoy regalando el acceso a la librería de recursos de la Academia de Hormigas en la Nube.

Cursos de ActiveCampaign, Elementor, Beaver Builder, WordPress, Copywriting, ventas, email marketing y más te estan esperando dentro. Disponible gratis por tiempo limitado.

Mockup escritorio herramientas
Ir arriba