Screen Shot 2013 04 12 at 8 04 13 PM

Algo que siempre menciono durante las clases (inscripciones abiertas para Mayo, por cierto!), es la necesidad de eliminar la cuenta “admin” que se crea en WordPress una vez que lo instalamos. El problema? Que es el nombre por defecto de prácticamente todas las instalaciones de WordPress, lo que lleva a que el ingreso no autorizado al blog, sea sencillo.

Esto es lo que sucede: cuando instalamos por primera vez WordPress en nuestro propio servidor, la cuenta por defecto, la inicial, lleva el nombre de usuario (username) de “admin”. Esto sucede en todos los blogs de WordPress. Por lo tanto, es una manera sencilla para cualquier persona con malas intenciones, de acceder al servicio a través de “fuerza bruta”. Se conoce a esta técnica con este nombre porque es básicamente en lo que consiste el ataque: una persona, que controla cientos o miles de PCs infectadas por algún virus (denominado botnet), intenta ingresar a un blog / página alojada en WordPress probando miles de combinaciones de palabras, números y caracteres por minuto / segundo, tratando de ingresar al servicio.

No me creen? Vean este registro de arturogoga.com:

2013 04 12 20 09 17

Según reporta Techcrunch, un ataque masivo se inició el día de hoy, con una Botnet grande con aproximadamente 100,000 PCs (nuevamente, una red de PCs infectadas, bajo el control de ciertas personas) ha empezado un ataque a múltiples servidores con instalaciones de WordPress. Y una vez que se obtiene la clave de Admin, no hay nada que impida a estas personas tomar control total sobre el blog o, incluso, eliminarlo.

 

Cómo eliminar el usuario admin?

  • Si ya tienen varios artículos escritos bajo este usuario, van a tener que transferirlos a otro autor. Esto se hace de manera sencilla.
  • Primero, crean una cuenta de usuario nueva (Usuarios / Añadir Nuevo). A este usuario le dan permisos de administrador, con un username diferente a admin (por supuesto) y una contraseña fuerte

2013 04 12 20 15 33

  • Una vez hecho esto Cierran sesión con su cuenta de Admin e inician sesión con su cuenta nueva. Una vez que hayan hecho esto van nuevamente a Usuarios / Todos los Usuarios, y le dan click a “Borrar” a la cuenta del admin.

2013 04 12 20 17 08

 

  • Esto nos llevará a una pantalla donde podremos atribuir los posts a otro de los autores en el Blog. Seleccionan dicha opción (ojo: mucho cuidado en no seleccionar “Eliminar todos los Posts”), confirman su decisión y listo!

 

2013 04 12 20 18 15

 

Como pueden ver, una vez que alguien gana acceso a nuestra cuenta de administrador, no hay mucho que le impida, por ejemplo, crear un usuario, borrar nuestra cuenta de admin, y dejarnos sin acceso al mismo. Es por eso que, antes que suceda, mejor lo realicen ustedes. De momento WordPress aún no ofrece algo como la verificación de dos pasos de Google, así que nuestra mejor seguridad, es una contraseña fuerte y, por supuesto, no usar admin como username.

 

Herramientas de Seguridad Extra:

Les comparto también algunos plugins de seguridad que siempre recomiendo:

  • Limit Login Attempts – registra los intentos de ingreso por IP, y si detecta que hay un número determinado de errores (es decir, no se ingresa el password correcto), bloqueará dicha IP por horas (el número de horas lo definimos). Si este bloqueo ocurre 3 veces, podemos cerrarle el acceso por días.
  • Simple Login Log – Mantiene un registro de IPs que han intentado ingresar al blog. De ahí saqué la captura de arriba.
  • Sucuri Security – Busca y detecta malware en nuestro blog
  • Vaulpress  – La mejor solución de backups para WordPress. Es de pago ($15 al mes), pero realiza copias de seguridad en tiempo real así que, de suceder lo peor, podemos simplemente darle un click a “Restaurar”, y automágicamente regresará nuestro blog al estado anterior.
  • No solo eso sino que se debe eliminar también al usuario con ID 1 (que generalmente es admin). Un plugin que me sirve mucho es Better WP Security que permite revisar varias vulnerabilidades de WordPress.

  • Sergio

    Otra buena opción es plugin Stealth Login Page, que protege la página de login de WordPress cambiando la URL predeterminada.

    • Con Better WP Security cambiar no solo la url del login sino la de administración y registro. Tiene muchas opciones para poder volvernos más seguros. Claro que se debe complementar con algunas otras medidas para poder ser todo un bunker antibombas 🙂

  • Moisés Sakiyama

    Muy buenos los tips, algo que también ayuda es poner espacios en las contraseñas, eso lo hace mucho más segura. Pueden usar este How secure is my password? para saber que tan segura es tu contraseña.

    http://www.arturogoga.com/2012/11/26/crea-una-contrasena-segura-con-strong-password-generator/

  • Hola Arturo.
    Gracias por este tip excelente que ayudan a usuarios que o tienen idea de lo que les puede pasar a sus web.
    Me tomé la molestia de dejarle un mensaje privado en su perfil de Facebook ojala y pueda ayudarme.

  • rD

    Con todo respeto, este post no sirve!

    A un atacante no le importa si usas Jommla, Chamilo, WordPress, etc. simplemente tratara de ingresar x otros medios (y los no lammer lo saben)

    mejor instalala la parte administrativa de WordPress en otro directorio y dentro crea el archivo .htaccess con el siguiente contenido:

    order deny,allow
    deny from all
    allow from IP_DE_CONFIANZA

    Para un atacante sera mucho mas complicado pero no imposible \m/

  • rD creo que el post es para personas que conocen de lenguajes de programación.
    Si fuera para personas expertas en el tema, el post lo pasarían por alto puesto que hace tiempo hubieran tomado medidas para que sean invulnerables a estos ataques.

  • rD
  • perdón por mi ignorancia pero donde se ven los intentos de login en el blog o e sun plugin?

    • Hola TokoTo, se hace instalando plugins… ve las herramientas que recomienda Arturo en el post.

  • Hola Arturo y a todos, muy importante el tema de no trabajar con el user admin, pero cualquiera sea el usuario que usemos este se hace visible en la URL si hacemos click en nuestro nombre como autores de un post. ¿Saben alguna forma de evitar que el user de wordpress aparezca en la URL?

    Saludos
    Carlos

  • También puedes utilizar Better WP Security que te ayuda a hacer esto y muchas otras medidas de seguridad como el usuario con ID 1, prefijo de tablas, proteger de escritura archivos importantes y una larga lista de etc 🙂