Llevamos unas semanas observando ataques de fuerza bruta en algunos de los blogs que administramos contra el usuario admin. Desde siempre hemos considerado de vital importancia, por un lado cambiar el nombre del usuario administrador por defecto de WordPress (admin) y por otro instalar algún plugin de seguridad que evite este tipo de ataques y nos informe de los mismos.
Para cambiar el nombre del usuario admin en WordPress hay dos formas:
- La primera (y más sencilla): Accedemos con el usuario admin, nos vamos a la sección de usuarios y creamos un usuario nuevo con derechos de administrador y otro nombre. Elegimos una contraseña segura, que debería contener letras (mayúsculas y minúsculas), números y símbolos y ser de al menos 12 caracteres.
OJO: Si queremos poner la misma dirección email que el usuario antiguo, habrá que modificar primero el usuario admin actual, ya que WordPress no nos permite crear dos usuarios con la misma dirección de email.
Una vez creado el nuevo usuario salimos del WordPress y volvemos a conectarnos con el nuevo usuario. Entonces le decimos que queremos eliminar el usuario antiguo y MUY IMPORTANTE: Que todas las publicaciones automáticamente pasen al usuario nuevo (sino las eliminará con el usuario antiguo).
A partir de ese momento ya no se podrá acceder con el usuario por defecto admin. - La segunda forma (con PHPMyAdmin): Accedemos a phpMyAdmin (bien directamente o a través del panel de administración del hosting), a continuación seleccionamos la base de datos que usa WordPress y buscamos la tabla “wp_users” (OJO: Esta tabla puede tener otros nombres, dependiendo del prefijo que hayamos configurado en wp-config.php para las tablas de WordPress, pero siempre acabará en “users”; también os recomendamos cambiar el prefijo para complicar un poco más el trabajo de quien quiera acceder sin permiso al blog). Hacemos click en «explorar» / «browse» y buscamos “admin” y hacemos click en «editar» / «edit». Reemplazamos admin en los campos «user_login», «user_nicename» y «display_name» por el nuevo nombre de usuario. OJO: Siempre poniendo el mismo en cada uno de los tres campos y no modificando ningún campo más. Guardamos y cerramos phpMyAdmin.
Si no habéis cambiado todavía el usuario de todos vuestros blogs, ya es hora de que lo hagáis y se lo pongáis más difícil a los que quieran obtener acceso a los mismos. No obstante esto solo es el comienzo de la configuración de seguridad de WordPress…. No obstante os recomendamos tenerlo muy presente sobre todo con los últimos casos de hackeo de páginas en WordPress (como la de Confianza Online que usa WordPress 2.6.3).
Porque ese es otro tema muy importante a tener en cuenta: Actualizar siempre el WordPress. No hace falta actualizar enseguida que haya una nueva versión, pero no tener instalada la versión 2.6.3 cuando la última versión estable es la 3.3 y desde la versión 2.6.3 se han publicado 28 versiones posteriores.