Descripción
WP Author Security es un plugin ligero, pero potente, para proteger frente a ataques de enumeración de usuarios en las páginas de los autores y otros lugares donde se pueden obtener los nombres de usuario válidos.
Por defecto, WordPress mostrará alguna información sensible en las páginas de los autores.
La página del autor típicamente es llamada solicitando la URI https://tu-dominio.tld/?author=<id>
o con los enlaces permanentes https://tu-dominio.tld/author/<username>
.
La página incluirá (dependiendo de tu tema) el nombre completo (nombre y apellidos), así como el nombre de usuario del autor, que es usado para acceder a WordPress.
En algunos casos, no se quiere exponer esta información al público. Un atacante es capaz de forzar por fuerza bruta los ID o nombres de usuario válidos. Esta información puede ser usada para otros ataques, como los ataques de ingeniería social o los ataques de acceso por fuerza bruta con los nombres de usuario obtenidos.
Sin embargo, cuando se usa el plugin y desactivas completamente las páginas de los autores, debes tener en cuenta que hay tienes que tener cuidado de que tu tema activo no muestre el propio nombre del autor en las entradas, como «Publicada por el Administrador» o algo como eso. Esto es algo que el plugin no gestionará (por el momento).
Al usar la extensión, puedes desactivar completamente las páginas de los autores o mostrarlas solo cuando el autor tiene, al menos, una entrada publicada. Cuando la página está desactivada, se muestra la página de error 404 por defecto del tema activo.
Además, el plugin también protegerá otras ubicaciones que son comúnmente usadas por los atacantes para obtener nombres de usuario válidos. Estas son:
- La API REST para los usuarios que listará por defecto todos los usuarios con entradas publicadas.
https://tu-dominio.tld/wp-json/wp/v2/users - La página de acceso, donde diferentes mensajes de error indicarán si existe o no el nombre de usuario o la dirección de correo electrónico introducidos. El plugin mostrará un mensaje de error neutro, independientemente de si el usuario existe o no.
- La función para la contraseña olvidada también permitirá a un atacante comprobar la existencia de un usuario. En cuanto a la página de acceso, el plugin mostrará un mensaje neutro, incluso cuando el usuario no exista.
- Requesting the feed endpoint /feed of your blog will also allow others to see the username or display name of the author. The plugin will remove the name from the result list.
- WordPress supports so-called oEmbeds. This is a technique to embed a reference to a post into another post. However, this reference will also contain the author name and a direct link to the profile page. The plugin will also remove the name and link here.
- Since WordPress 5.5 a default sitemap can be reached via /wp-sitemap.xml. This sitemap will disclose the usernames of all authors. If this should not be disclosed you are able to disable this feature of WordPress.
Capturas
Instalación
- Instale el plugin a través del escritorio en «
Plugins > Añadir nuevo
» o sube la carpeta del plugin «wp-author-security» del archivo ZIP a tu directorio de plugins de WordPress «wp-content/plugins/
» (por ejemplo, a través de FTP) - Activa el plugin en la administración de WordPress
- Personaliza los ajustes navegando a «
Ajustes > WP Author Security
»
Reseñas
Colaboradores y desarrolladores
«WP Author Security» es un software de código abierto. Las siguientes personas han colaborado con este plugin.
Colaboradores«WP Author Security» ha sido traducido a 4 idiomas locales. Gracias a los traductores por sus contribuciones.
Traduce «WP Author Security» a tu idioma.
¿Interesado en el desarrollo?
Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.
Registro de cambios
1.5.0
- added basic statistics to the settings page
- bugfix password forgotten protection
1.4.1
- Bugfix error on login check
1.4.0
- added protection for the wp-sitemap.xml author disclosure
1.3.0
- added protection for the /feed endpoint
- added protection for the oEmbed endpoint
1.2.1
- Documentación actualizada
- Corrección de un fallo en la detección errónea del correo
1.2.0
- Añadida la protección para la página de acceso y de contraseña olvidada
- Añadida compatibilidad para los idiomas de/en
1.1.0
- Añadida la protección para la API REST
1.0.0
- Versión inicial