En la mayoría de ocasiones, al instalar un WordPress, se genera un usuario Administrador con el nombre de «admin». Dejar este usuario es una mala idea. Por la red pululan multitud de bots que están intentando acceder a tu sitio para hackearlo y utilizarlo como granja de enlaces o sitio desde el que enviar spam.
Estos bots, al localizar la página de acceso a WP realizan muchísimas combinaciones de usuario y contraseña con el fin de entrar en el backend. Si usas el usuario «admin» le estás dando al bot la mitad del trabajo hecha.
Usa una contraseña del tipo «123123» o el nombre de tu sitio, y se lo habrás dado hecho por completo.
Incluso si al crear tu WP utilizas otro usuario diferente, como podría ser tu nombre, por ejemplo, también podría presentar un problema de seguridad. En efecto, ese primer usuario, se crea en la base de datos con un id=1. De esta forma, si a cualquier web le añades «/?author=1» detrás, podrás ver fácilmente el nombre del usuario administrador. Una vez más, la mitad del trabajo para el bot está hecho.
¿Cómo solucionamos este problema de seguridad?
Tienes muchas formas de poder hacerlo. Algunas son más complejas (como hacerlo directamente en la base de datos) y otras menos (por ejemplo, a través de un plugin).
Una de las más sencillas es, simplemente, cuando entres en tu WP, en el menú Usuarios, crea un nuevo usuario Administrador. Evidentemente, ponle cualquier nombre menos «admin» ni «admin2» o parecido, ni el nombre de la web. Por supuesto, el alias (el nombre que aparece públicamente), a su vez, debe ser diferente al usuario.
Una vez que lo hayas creado, sal de WP y vuelve a entrar con este nuevo usuario. Ahora, en el mismo menú Usuarios, elimina al primero. No temas, no pasará nada. Simplemente asigna todo el contenido al nuevo usuario y borra el otro sin piedad.
De esta forma, si alguien intenta identificar al usuario con id=1, recibirá un error 404 (es decir, que esa página no existe).
¿Y si alguien busca id=2? En este caso, si se hace manualmente, accedería a saber cuál es el nuevo usuario. Sin embargo, los bots no suelen hacerlo, por lo que es una primera medida de seguridad. Si quisieras un nivel más alto (por ejemplo, que el usuario tuviera id=48 o cualquier otro número que se te ocurra), deberías hacerlo en la base de datos (recomendado si sabes lo que haces) o a través de algún plugin.
¿Y las contraseñas?
Las contraseñas son otro de los grandes problemas de seguridad en internet. No solamente en WordPress, sino en cualquier aplicación. Comenzando por tus correos electrónicos. De hecho, hay páginas que te indican si tu correo y contraseña se han filtrado en internet. Puedes buscar tu correo en esta web y quizás te lleves una sorpresa.
Como norma de seguridad general respecto a las contraseñas, es importante utilizar una exclusiva para tu sitio web. Que tenga más de ocho caracteres (o más de doce o, bueno, cuanto más larga, mejor 😉 ). Y ya sabes, que combine mayúsculas, minúsculas, algún número y algún caracter que no sea alfanumérico.
En definitiva, siguiendo estos sencillos pasos (sobre todo no utilizar el usuario «admin» y usar una contraseña segura), estarás aumentando considerablemente la seguridad de tu WordPress.
Deja una respuesta