Home » ataque masivo a wordpress » cambiar admin en wordpress » wordpress » Como salvarse del ataque a Wordpress

Como salvarse del ataque a Wordpress

en , , - el 4/24/2013
Como ya es sabido por muchos hace ya algunos días se empezo a perpetrar un ataque de grandes proporciones a sitios web basados en la plataforma Wordpress (Wordpress.org el cms no Wordpress.com, aun hay mucha confusión en cuando a esto), se rumorea que mas de 90000 sitios evidencian estar bajo un ataque por fuerza bruta, dirigido especialmente a aquellos que tengan como usuario admin, administrator o root, por lo que es necesario cambiarlo si tenemos de nombre de usuario "admin", precisamente el más común ya que Wordpress lo pone por defecto y también el más vulnerable.

Para agregarle un poco mas de seguridad a la cuenta lo que debemos hacer es elegir otro nombre de usuario cuando instalemos Wordpress, por que después Wordpress no nos permite cambiarlo, pero si no lo hicimos en el momento y tenemos el famoso "admin" podemos hacerlo todavía no desde Wordpress pero si desde el panel de control de nuestro hosting:

Cambiar el famoso "admin"

1. Lo primero que debemos hacer es entrar al panel de control de nuestro hosting, eso depende del hosting donde tengamos instalado Wordpress.
2. Una vez ahi, vamos a PhpMyAdmin o a Bases de datos MySql, cualquiera de las 2 opciones sirve, ahí buscamos la base de datos e introducimos la contraseña.
entrar a la base de datos
3. Una vez en la base de datos buscamos la tabla wp_users, si no cambiamos el prefijo al momento de instalar Wordpress se llamara así, si lo cambiamos tendrá el prefijo que le pusimos seguido de _users, pero si no le cambiamos el usuario mucho menos creo que le hayamos cambiado el prefijo, en todo caso no sera muy difícil de encontrar.
4. Ahí buscamos los campos donde diga "admin", lo mas probable es que nos toque cambiarlo en 3 partes: "user_login", "user_nicename" y en "display_name", después de esto guardamos y ya hemos cambiado el nombre de usuario.
Cambiar admin de Wordpress

Un poco mas de seguridad

Cambiando el nombre de usuario nos hemos salvado de este ataque en particular, pero ¿que haríamos en caso de un ataque dirigido directamente a nuestro blog?, pues echando un vistazo al blog o a los comentarios es posible averiguar el nombre de usuario y si algún atacante dedica algo de tiempo a hacerlo estaríamos en las mismas que al comienzo, así que para incrementar un poco mas la seguridad en caso de ataque por fuerza bruta instalaremos el plugin "Limit Login Attempts", lo que hace este plugin bloquear el login temporalmente después de varios intentos de sesión fallidos, por lo que hará extremadamente difícil un ataque por fuerza bruta.

Para instalarlo vamos a plugins - nuevo y buscamos "Limit Login Attempts", después de instalarlo lo encontraremos en Ajustes -  "Limit login Attempts", ahí podremos configurar de forma muy sencilla opciones como a los cuantos intentos bloquear el acceso y por cuanto tiempo debe hacerse el bloqueo, o personalizaciones de mas tiempo para varios bloqueos seguidos y podremos ver ahí también el registro de cuantos bloqueos se han hecho.
Incrementar seguridad en Wordpress



Etiquetas: , ,