Tienen un blog en WordPress? Es hora de eliminar la cuenta “admin”. Y otros tips de seguridad.

Screen Shot 2013 04 12 at 8 04 13 PM

Algo que siempre menciono durante las clases (inscripciones abiertas para Mayo, por cierto!), es la necesidad de eliminar la cuenta “admin” que se crea en WordPress una vez que lo instalamos. El problema? Que es el nombre por defecto de prácticamente todas las instalaciones de WordPress, lo que lleva a que el ingreso no autorizado al blog, sea sencillo.

Esto es lo que sucede: cuando instalamos por primera vez WordPress en nuestro propio servidor, la cuenta por defecto, la inicial, lleva el nombre de usuario (username) de “admin”. Esto sucede en todos los blogs de WordPress. Por lo tanto, es una manera sencilla para cualquier persona con malas intenciones, de acceder al servicio a través de “fuerza bruta”. Se conoce a esta técnica con este nombre porque es básicamente en lo que consiste el ataque: una persona, que controla cientos o miles de PCs infectadas por algún virus (denominado botnet), intenta ingresar a un blog / página alojada en WordPress probando miles de combinaciones de palabras, números y caracteres por minuto / segundo, tratando de ingresar al servicio.

No me creen? Vean este registro de arturogoga.com:

2013 04 12 20 09 17

Según reporta Techcrunch, un ataque masivo se inició el día de hoy, con una Botnet grande con aproximadamente 100,000 PCs (nuevamente, una red de PCs infectadas, bajo el control de ciertas personas) ha empezado un ataque a múltiples servidores con instalaciones de WordPress. Y una vez que se obtiene la clave de Admin, no hay nada que impida a estas personas tomar control total sobre el blog o, incluso, eliminarlo.

 

Cómo eliminar el usuario admin?

  • Si ya tienen varios artículos escritos bajo este usuario, van a tener que transferirlos a otro autor. Esto se hace de manera sencilla.
  • Primero, crean una cuenta de usuario nueva (Usuarios / Añadir Nuevo). A este usuario le dan permisos de administrador, con un username diferente a admin (por supuesto) y una contraseña fuerte

2013 04 12 20 15 33

  • Una vez hecho esto Cierran sesión con su cuenta de Admin e inician sesión con su cuenta nueva. Una vez que hayan hecho esto van nuevamente a Usuarios / Todos los Usuarios, y le dan click a “Borrar” a la cuenta del admin.

2013 04 12 20 17 08

 

  • Esto nos llevará a una pantalla donde podremos atribuir los posts a otro de los autores en el Blog. Seleccionan dicha opción (ojo: mucho cuidado en no seleccionar “Eliminar todos los Posts”), confirman su decisión y listo!

 

2013 04 12 20 18 15

 

Como pueden ver, una vez que alguien gana acceso a nuestra cuenta de administrador, no hay mucho que le impida, por ejemplo, crear un usuario, borrar nuestra cuenta de admin, y dejarnos sin acceso al mismo. Es por eso que, antes que suceda, mejor lo realicen ustedes. De momento WordPress aún no ofrece algo como la verificación de dos pasos de Google, así que nuestra mejor seguridad, es una contraseña fuerte y, por supuesto, no usar admin como username.

 

Herramientas de Seguridad Extra:

Les comparto también algunos plugins de seguridad que siempre recomiendo:

  • Limit Login Attempts – registra los intentos de ingreso por IP, y si detecta que hay un número determinado de errores (es decir, no se ingresa el password correcto), bloqueará dicha IP por horas (el número de horas lo definimos). Si este bloqueo ocurre 3 veces, podemos cerrarle el acceso por días.
  • Simple Login Log – Mantiene un registro de IPs que han intentado ingresar al blog. De ahí saqué la captura de arriba.
  • Sucuri Security – Busca y detecta malware en nuestro blog
  • Vaulpress  – La mejor solución de backups para WordPress. Es de pago ($15 al mes), pero realiza copias de seguridad en tiempo real así que, de suceder lo peor, podemos simplemente darle un click a “Restaurar”, y automágicamente regresará nuestro blog al estado anterior.