Enumeración de usuarios

Implementador WordPress y VPS
Implementador WordPress y VPS
Enumeración de usuarios
icon loader
/

En el episodio “El usuario admin” comenté lo interesante que me pareció el dejar al usuario #1 “admin” sin perfil… Y en los comentarios Ángel nos recomendaba la opción de saltarnos la enumeración de los usuarios… Y como la seguridad es algo que nos interesa a todos… En este episodio te explico como se hace esto.

Tips de seguridad y como solucionar la enumeración de los usuarios
  • WordPress en su afán de poner las cosas mas fáciles.
  • Deja algunas “pistas” que los malos ocupan para atacarnos.
  • Y una muy común es la: Enumeración de usuarios.
  • Gracias a esto los malos pueden hacerse de un listado de usuarios en tu WordPress.
  • Y luego ir probando uno a uno hasta dar con el administrador.
  • Con métodos de hackeo como los diccionarios o los ataques de fuerza bruta.
  • Hagamos la prueba, anda a tu web y pone tudominio.com/?author=1
    • Si has hecho bien las tareas
    • Te saldrá un error 403 y no va a mostrar nada
    • Pero si no has hecho las tareas te puede aparecer el error 404 de página no encontrada de tu WordPress.
    • Eso quiere decir que el usuario con ID #1 no existe
    • Pero podrías probar poner tudominio.com/?author=2
    • ¿Que te aparece?
    • Si te aparece una página que dice Autor: ya la hemos liado…
    • Porque esta página tendrá una URL mostrando tu nombre de usuario tudominio.com/author/alexavalos/
  • WordPress almacena la información de los usuarios de la siguiente forma:
    • user_login – Información de los usuarios
    • user_nicename – Versión sanitizada
  • Y es este campo user-nicename que se utiliza para construir el enlace amigable nos delata.

¿Y qué hacemos?

  • Lo primero desde tu hosting Bloquear análisis author
  • Con esto se elimina el problema y nos ahorramos los demás pasos.
  • Si usas Plesk:
    • Le das Ver en Estado de seguridad
    • Y das clic al check Bloquear análisis author
    • Luego al botón Proteger.. ¡y ya está!
    • Cuando intenten hacer este análisis de autores les aparecerá el error 403
  • Problemas con este método… Que te va a dejar de funcionar la página en la se muestra el listado de post escritos por los autor.
  • Nuestro amigo el .htaccess
  • Si no usas Plesk… Y los de tu hosting se hicieron los mareados
  • Podés agregas estas lineas a tu .htaccess
  • En la linea 4 donde dice: https://dominio.com/ tenés que poner tu dominio y te quedaría la linea algo así:
    • RewriteRule ^(.*)$ https://apple.com/? [L,R=301]
    • RewriteRule ^(.*)$ https://google.com/? [L,R=301]
  • Ventajas de este método…
  • Qué en lugar de bloquear, cuando se intente buscar información de autores.
  • Va a redireccionar a la HOME

La base de datos

  • Si por el motivo que sea no podés hacer lo del Bloquear análisis author desde tu hosting
  • Tenés que ir a phpMyAdmin y hacer dos cosas.
  • Antes, obviamente copia de respaldo de todo.
  • ¿La hice por la mañana? ¡NO IMPORTA! Hay que volverla a hacer.
  • La enumeración
    1. Entras a tu phpMyAdmin
    2. Vas a la tabla prefijo_users
    3. Le das clic en Operaciones
    4. Y en las opciones de tablas vas a AUTO_INCREMENT
    5. Y cambias el numero que tenga por un numero superior
    6. Das clic en el botón Continuar
  • Un nuevo usuario
    1. Vas a tu WordPress
    2. Usuarios
    3. Añadir nuevo
    4. Crear un nuevo usuario administrador
  • Nice_name
    1. Entras a tu phpMyAdmin
    2. Vas a la tabla prefijo_users
    3. Le das clic en Editar al usuario que acabas de crear
    4. Y donde dice user_nicename cambias lo que sale por cualquier otro nombre
    5. Das clic en Continuar
  • Ahora, te limpias el sudor que salió por los nervios.
  • Y ya esta…
  • ¿Qué hicimos?
  • Al cambiar el valor en AUTO_INCREMENT
  • Le dijimos a WordPress que el próximo usuario a crear seria el numero “XX”
  • Y al cambiar el user_nicename ocultamos nuevo user_login
  • Porque los malos van a suponer que el nicename es igual a tu nombre de usuario… ¡Y ya no lo es!
  • Y van a intentar entrar y entrar con tu nuevo nicename y obviamente ese no es ni será nunca tu nombre de usuario.
Los campos de usuarios
Los usuarios test y daniela tienen un nicename personalizado

No hay duda que la seguridad no se trata de apagar fuegos… Sino de evitar problemas. Muchas gracias a Ángel Flores de webpamplona.com que gracias a sus valiosos comentarios en el episodio del lunes… Inspiro este episodio en el que aprendimos todos cosas nuevas sobre seguridad, base de datos, y por supuesto WordPress.

Si querés ponerte en contacto conmigo, podes escribirme en mi Formulario de contacto aquí en la web 😉

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *