Especialista en servidores y Hosting VPS
El usuario admin
/
RSS Feed
En su afán de poner las cosas mas sencillas y la tarea fácil para los que van comenzando WordPress crea un usuario “admin” para que sepamos que ese es el usuario administrador. Lamentablemente esto lo ocupan los bot’s y cyber criminales para atacar nuestra web. ¿Qué podemos hacer? En este episodio lo hablamos.
- La seguridad es clave para que nuestra web resista los ataques e intentos de hackeo.
- Muchos se sienten abrumados por interminables tutoriales para tener su web segura.
- Y otros se rinden a instalar un plugin de seguridad tipo Wordfence, iThemes security, SecuPress.
- Recordemos consejos básicos per siempre útiles:
- Certificado SSL instalado y activo
- Hacer y probar copias de seguridad
- Mantener ¡TODO! Actualizado
- Uso de contraseñas seguras
- Plugin para un segundo factor de autenticación
- Permisos los justos para los usuarios
- Es son los consejos básicos y los pasos mínimos…
- Pero hay algo que se nos suele escapar: El usuario admin.
- En un principio WordPress no nos dejaba seleccionar que nombre queríamos usar.
- Y creaba el usuario uno con el nombre “admin”
- Ahora ya nos deja especificar el nombre, pero algunos hosting siguen instalando con el usuario “admin”
- Lo normal es crear un administrador nuevo.
- Loguearnos con ese nuevo usuario y borrar el usuario admin.
- Pero viendo un post de TICpress vi la siguiente pregunta:
- ¿Porque no dejamos el usuario activado como suscriptor?
- Y tiene todo el sentido del mundo…
- El usuario numero uno de nuestra base de datos es el admin
- Cuando un bot o cyber criminal quiere inyectar código SQL
- Comenzará a intentar acceder a ese usuario admin que es el numero uno.
- Y si lo logran, tendrán acceso únicamente a un usuario registrado sin permisos y sin posibilidad de hacer daño a nuestra web.
- ¿Cómo hacemos esto paso a paso?
- Creamos un administrador nuevo:
- Vamos a Usuarios
- Añadir nuevo
- Completamos la información (nombre de usuario, mail, nombre, apellido, y contraseña segura
- En el perfil seleccionamos Administrador
- Cerramos sesión con el usuario “admin”
- Iniciamos sesión con el nuevo administrador
- Vamos a Usuarios
- Le damos a “Editar” al usuario “admin”
- Vamos a perfil y lo cambiamos a “Suscriptor”
- Actualizamos usuario
- Y santas pascuas… Que se entretengas los bots y cyber criminales con ese usuario uno jejeje
- Y si queremos hacer todavía dejar menos posibilidades… Podes seleccionar en el perfil:
- -No hay perfil para este sitio-
- Así ni podrán entrar al escritorio.
- Ni modificar los datos del usuario .
- Aunque tengan el nombre de usuario y la contraseña.
No hay duda que siempre podemos aprender algo nuevo, solo se trata de estar atentos a lo que vemos y leemos y aplicarlo en nuestro día a día.
Ahora cada vez que demos vida a un nuevo WordPress dejemos es usuario admin con el perfil -No hay perfil para este sitio- vas a ver que risa para el pobre bot jejejeje.
Hola Alex,
El problema que veo es que teniendo el usuario admin activado y los «malos» lo encuentran siempre tendrás intentos de acceso contra tu servidor, creo que lo mejor es cambiar la URL de acceso, eliminar el usuario admin y hacer un alter table de la tabla de usuarios para que el próximo ID que dé sea otro mayor por ejemplo el 789 de esta forma evitamos los ataques por los primeros IDs.
Salu2
Ángel muchas gracias por tu comentario. Tenés toda la razón del mundo… En este episodio comparto una forma más. Pensado para los que van comenzando y el salto en la numeración de usuarios en la base de datos le puede sonar a chino.
De todos modos aunque no haya usuario admin, los «malos» siempre van a intentar y seguir intentando por todos los medios posibles. Y si hay un salto de numeración también lo detectan y siguen probando.
Para el viernes me preparo un episodio desarrollando lo que vos nos compartís. Así que doble gracias: Por el comentario y por darme idea para el episodio jejejeje.
Saludos y éxitos.
no creo que hagan un bucle buscando ID’s indefinidamente en todas las instalaciones de WordPress, como mucho lo mismo inspeccionan 100 id’s. En mis instalaciones le cambio el Id para que comience por el 3432, así que no creo que intenten tantos accesos por Id.
Además, al 4º intento desde la misma IP lo bloqueo. jejeje
Salu2
Ángel
Ángel no inspeccionan todos ese es un hecho, pero sí detectan el salto de la numeración de 1 a 10 y de repente a 3,000 por eso lo más seguro es que que haces: Bloquear los intentos. Así después de superar el limite… Santa paz. jejejeje ¡Saludos!