WPQuery
La cuenta de administrador de WordPress es la más atacada. Por ello, se recomienda asegurar adecuadamente esta cuenta. Uno de los ajustes de seguridad sugeridos es cambiar la ID predeterminada que se asigna a la cuenta de usuario administrador de WordPress. Te explicamos por qué deberías cambiar la ID predeterminada de la cuenta de administrador de WordPress y cómo hacerlo.
Por qué cambiar el user ID de tu cuenta administradora en WordPress
Cambiando la ID del usuario administrador de WordPress proteges tu sitio de ataques dirigidos.
Si tu WordPress es víctima de un ataque dirigido, un hacker malicioso puede identificar fácilmente el nombre de usuario del administrador de WordPress manualmente o mediante herramientas automatizadas.
Si un atacante malicioso no conoce el nombre de usuario del administrador de WordPress, debe adivinar tanto el nombre de usuario como la contraseña durante un ataque de fuerza bruta, lo que reduce significativamente las probabilidades de éxito del ataque y prolonga su duración, aumentando las posibilidades de que tú o tu proveedor de hosting detecten el ataque.
Cómo identificar manualmente el nombre de usuario de un administrador
Para identificar manualmente el nombre de usuario del administrador de WordPress, puedes verificar la ID del usuario en la base de datos, ya que por defecto es 1. Si el ID de tu administrador WordPress no ha variado, pueddes acceder a la URL específica de tu sitio con el parámetro de usuario (por ejemplo, http://tusitioweb.com/?author=1), se redirigirá a la URL que incluye el nombre de usuario del administrador. Esto revela el nombre de usuario si la ID no ha sido cambiada.
Como identificar automáticamente el nombre de usuario de WordPress
Existen varias herramientas gratuitas en línea que los atacantes maliciosos pueden usar contra ti, como el escáner WPScan para WordPress. Al realizar un escaneo de seguridad predeterminado con WPScan, este automáticamente enumerará todos los usuarios con una ID baja o predeterminada, revelando así el nombre de usuario del administrador de WordPress.
WPScan también puede enumerar usuarios de WordPress con IDs más altas. Sin embargo, cuanto más alta sea la ID del administrador de WordPress, más tiempo tardará el escáner en adivinarla, prolongando el ataque y aumentando las posibilidades de identificarlo y bloquearlo.
Cómo cambiar la ID del administrador de tu WordPress
Para cambiar la ID del administrador de WordPress, primero debes hacer una copia de seguridad de tu WordPress. Asegúrate de que la cuenta de administrador no tenga asignados ningún post o página. Luego, conecta a la base de datos de WordPress usando MySQL o phpMyAdmin y ejecuta las siguientes consultas SQL: para cambiar la ID en la tabla wp_users y wp_usermeta de 1 a n. Esto actualizará la ID de usuario del administrador de WordPress en donde se almacenan los datos del usuario y sus credenciales.
UPDATE wp_users SET ID = 1024 WHERE ID = 1;
La consulta MySQL mencionada cambiará la ID del usuario administrador predeterminado de WordPress de 1 a 1024 en la tabla wp_users, que es donde se almacenan las credenciales del usuario.
UPDATE wp_usermeta SET user_id = 1024 WHERE user_id = 1;
La consulta MySQL mencionada cambiará la ID del usuario administrador predeterminado de WordPress de 1 a 1024 en la tabla wp_usermeta, donde se almacenan los datos relacionados con el usuario.
También tenemos plugins como Random User IDs que hacen el trabajo más fácil. Este plugin aleatoriza el user_id para el usuario creado durante la configuración de WordPress, eliminando un factor de ataque potencial del sitio. Desde la versión 4.9 de WordPress, también aleatoriza la ID para todos los otros usuarios creados después de su instalación.
Protege tu cuenta de administrador
Aunque pienses que tus sitios WordPress nunca serán víctimas de un ataque dirigido, aún así se recomienda cambiar la ID del administrador, ya que todo sitio en línea es un posible objetivo.
Cambiar la ID solo te tomará unos minutos. No es necesario cambiar la ID de todos los usuarios que no tienen privilegios de administrador, ya que generalmente se ataca a la cuenta de administrador. Además, siempre debes asegurarte de que todos los usuarios utilicen contraseñas fuertes y ocultar los nombres de usuario de WordPress cuando sea posible.
Recuerda que en instalaciones nuevas, es tan fácil como crear otro administrador desde la primera cuenta, y borrar la primera desde la segunda… no evitarás una ID baja, pero la ID numero 1 pasará a la historia en tu WordPress.
