Especialista en servidores y Hosting VPS
Enumeración de usuarios
/
RSS Feed
En el episodio “El usuario admin” comenté lo interesante que me pareció el dejar al usuario #1 “admin” sin perfil… Y en los comentarios Ángel nos recomendaba la opción de saltarnos la enumeración de los usuarios… Y como la seguridad es algo que nos interesa a todos… En este episodio te explico como se hace esto.
- WordPress en su afán de poner las cosas mas fáciles.
- Deja algunas “pistas” que los malos ocupan para atacarnos.
- Y una muy común es la: Enumeración de usuarios.
- Gracias a esto los malos pueden hacerse de un listado de usuarios en tu WordPress.
- Y luego ir probando uno a uno hasta dar con el administrador.
- Con métodos de hackeo como los diccionarios o los ataques de fuerza bruta.
- Hagamos la prueba, anda a tu web y pone tudominio.com/?author=1
- Si has hecho bien las tareas
- Te saldrá un error 403 y no va a mostrar nada
- Pero si no has hecho las tareas te puede aparecer el error 404 de página no encontrada de tu WordPress.
- Eso quiere decir que el usuario con ID #1 no existe
- Pero podrías probar poner tudominio.com/?author=2
- ¿Que te aparece?
- Si te aparece una página que dice Autor: ya la hemos liado…
- Porque esta página tendrá una URL mostrando tu nombre de usuario tudominio.com/author/alexavalos/
- WordPress almacena la información de los usuarios de la siguiente forma:
- user_login – Información de los usuarios
- user_nicename – Versión sanitizada
- Y es este campo user-nicename que se utiliza para construir el enlace amigable nos delata.
¿Y qué hacemos?
- Lo primero desde tu hosting Bloquear análisis author
- Con esto se elimina el problema y nos ahorramos los demás pasos.
- Si usas Plesk:
- Le das Ver en Estado de seguridad
- Y das clic al check Bloquear análisis author
- Luego al botón Proteger.. ¡y ya está!
- Cuando intenten hacer este análisis de autores les aparecerá el error 403
- Problemas con este método… Que te va a dejar de funcionar la página en la se muestra el listado de post escritos por los autor.
- Nuestro amigo el .htaccess
- Si no usas Plesk… Y los de tu hosting se hicieron los mareados
- Podés agregas estas lineas a tu .htaccess
- En la linea 4 donde dice: https://dominio.com/ tenés que poner tu dominio y te quedaría la linea algo así:
- RewriteRule ^(.*)$ https://apple.com/? [L,R=301]
- RewriteRule ^(.*)$ https://google.com/? [L,R=301]
- Ventajas de este método…
- Qué en lugar de bloquear, cuando se intente buscar información de autores.
- Va a redireccionar a la HOME
La base de datos
- Si por el motivo que sea no podés hacer lo del Bloquear análisis author desde tu hosting
- Tenés que ir a phpMyAdmin y hacer dos cosas.
- Antes, obviamente copia de respaldo de todo.
- ¿La hice por la mañana? ¡NO IMPORTA! Hay que volverla a hacer.
- La enumeración
- Entras a tu phpMyAdmin
- Vas a la tabla prefijo_users
- Le das clic en Operaciones
- Y en las opciones de tablas vas a AUTO_INCREMENT
- Y cambias el numero que tenga por un numero superior
- Das clic en el botón Continuar
- Un nuevo usuario
- Vas a tu WordPress
- Usuarios
- Añadir nuevo
- Crear un nuevo usuario administrador
- Nice_name
- Entras a tu phpMyAdmin
- Vas a la tabla prefijo_users
- Le das clic en Editar al usuario que acabas de crear
- Y donde dice user_nicename cambias lo que sale por cualquier otro nombre
- Das clic en Continuar
- Ahora, te limpias el sudor que salió por los nervios.
- Y ya esta…
- ¿Qué hicimos?
- Al cambiar el valor en AUTO_INCREMENT
- Le dijimos a WordPress que el próximo usuario a crear seria el numero “XX”
- Y al cambiar el user_nicename ocultamos nuevo user_login
- Porque los malos van a suponer que el nicename es igual a tu nombre de usuario… ¡Y ya no lo es!
- Y van a intentar entrar y entrar con tu nuevo nicename y obviamente ese no es ni será nunca tu nombre de usuario.
No hay duda que la seguridad no se trata de apagar fuegos… Sino de evitar problemas. Muchas gracias a Ángel Flores de webpamplona.com que gracias a sus valiosos comentarios en el episodio del lunes… Inspiro este episodio en el que aprendimos todos cosas nuevas sobre seguridad, base de datos, y por supuesto WordPress.