Proteger los usuarios en WordPress es lo que nos faltaba para completar nuestro trío de seguridad en lo referente a uno de los puntos más débiles en la cadena de seguridad: las personas.
Conoces que para protegerte de ataques de fuerza bruta, tienes que tener una contraseña fuerte, ya que serán la que buscarán combinar junto con tu nombre de usuario para entrar a tu web.
Pero si además de crear una contraseña a prueba de balas de cañon, evitas que sepan los nombres de usuarios que usas… ¿crees posible un ataque de fuerza bruta con éxito?
Pues resolvamos la parte del puzle que nos queda para completar nuestra protección.
El problema de no proteger los usuarios en WordPress
Por si te perdiste o no leíste los artículos que te he enlazado más arriba (¿de verdad?, ¡son 5 minutos y te ayudarán a mejorar la seguridad de tu web!), me repito un poco.
WordPress es el CMS más usado en Internet (22,5% de los sitios web en el mundo), y por lógica, el más atacado. Por contra WordPress es el CMS más seguro (en el ranking cuanto más abajo es mejor, están ordenados por número de vulnerabilidades). Pero tiene algunos fallos. Uno de ellos es que por defecto en la instalación pone admin como usuario administrador, y ¡encima es sencillo de recordar!, por lo que muchos usuarios novatos lo dejan.
Además uno de los ataques más frecuentes es el de fuerza bruta, que consiste en probar contraseñas aleatorias junto a un usuario conocido, es el login de nuestro WordPress, hasta que Voila! Acceso concedido. En serio, es muy sencillo. ¿Te lo demuestro? Mira el vídeo:
Para ser técnicamente exactos, no ha usado un ataque de fuerza bruta, sino un ataque de diccionario. En estos ataques se prueba el usuario con miles y miles de contraseñas hasta que da con ellas.
¿Y te has fijado como ha sacado la lista de usuarios de WordPress? Y todo en menos de dos minutos.
¿Que hubiera pasado si no hubiera tenido acceso a los usuarios de WordPress?
Pues tan sencillo que hubiera probado con los usuarios que suelen existir por defecto: admin, administrator, y poco más, y no hubiera podido acceder.
¿Te das cuenta de la importancia de que no se conozca tu usuario?
La forma más sencilla de conocer tus usuarios
No hace falta conocer linux, o manejar un programa de búsqueda de vulnerabilidades en WordPress, para conocer tus usuarios.
¿Has probado alguna vez a poner esto en la barra de direcciones?
http://tudominio.com/?author=1
Si no te sale nada… ¡genial! eso es que me haces caso, prueba con un numero superior. Si te ha salido un usuario… ¿por casualidad es tu «user»? Y si es admin, apaga y vámonos.
Puedes ir probando con números consecutivos, y la url se ira cambiando, mostrando en cada caso el alias de los usuarios existentes.
¿Y cuál es el problema? Que en la mayoría de los casos el alias es igual que tu nombre de usuario.
Y no corras al panel de control de WordPress a cambiar el alias del usuario en el perfil. Porque curiosamente, debido a un fallo, la url seguirá siendo exactamente la misma.
Si tienes un buen plugin de seguridad, probablemente si te funcione cambiar el alias, pero en mi caso usando Wordfence, y en otros usando iThemes, esto no ha sido así.
La solución más sencilla para proteger los usuarios en WordPress
No todo va a ser fácil para los malos.
Te voy a enseñar la solución mas sencilla y efectiva. ¡Pero ojo! La más sencilla no quiere decir que sea fácil, porque requiere tocar en la base de datos.
Así que escucha atentamente para saber cómo proteger los usuarios en WordPress en un pispás:
- Utilizando tu plugin de copias de seguridad habitual, haz ahora mismo una copia completa. Para realizar tus copias de seguridad en WordPress puedes usar BackWPup como uso yo. No importa que tengas una copia de anoche. Haz una ahora mismo.
- Ahora, desde el panel de control de tu servicio de alojamiento, abre phpMyAdmin, y busca en la base de datos de tu sitio web, la tabla wp_users. ¡En serio! todavía usas el prefijo wp_, pues espero que no y tengas uno diferente, así que busca la tabla prefijotuyo_users.
- Abre la tabla, asegurándote que estas en la pestaña Examinar, y busca el usuario o usuarios que quieras modificar. Haciendo clic en Editar, podrás modificar sus datos, y en el campo user_nicename, debes poner el nombre de usuario que realmente quieras usar como alias. Recuerda que no debe contener espacios.
A partir de ahora, cuando alguien haga clic en tu nombre de usuario, o intente la búsqueda anterior le saldra el user_nicename, en vez de tu nombre de usuario real.
Pero ¿también puedes así proteger los usuarios en WordPress contra los escaneos?
Pues realizando una prueba contra un WordPress limpio, recién instalado, sin proteger, pero con este campo modificado, saque este resultado:
Y te puedo asegurar que javier-gobea no es el nombre de usuario.
Con lo cual, con un pequeño cambio en la base de datos, puedes anular completamente los ataques de fuerza bruta o de diccionario en vuestro WordPress.
Y ahora, tras tres artículos dando la lata, ¿te parece un trio completo de protección de acceso a tu web?
Recuerda leerte los dos artículos anteriores:
- Para protegerte de ataques de fuerza bruta en WordPress no hace falta ser Karate Kid
- Generar contraseñas seguras para tu blog de 2 maneras diferentes y con ¡Bonus!
Y si quieres complementar tu formación en seguridad, apúntate GRATIS al curso Protege tu Blog, y tener una defensa numantina de tu blog. ¡Tienes el botón para apuntarte un poco más abajo, o en la barra lateral! ¡No lo dejes pasar!