Cómo corregir el error "Evitar un posible intento de enumerar usuarios" (2 formas sencillas)

¿Le preocupa que los piratas informáticos intenten descubrir nombres de usuario en su sitio de WordPress para piratearlo?

Probablemente no sea tu primer instinto, ¿verdad?

Pero aquí hay una verificación de la realidad: sondear su sitio para encontrar nombres de usuario es una táctica bastante común utilizada por los piratas informáticos.

Una vez que los piratas informáticos encuentran un nombre de usuario válido, solo necesitan adivinar la contraseña para acceder a su sitio. Los hackers luego usarán lo que se llama un 'ataque de fuerza bruta' para adivinar la contraseña correcta para su panel de WordPress.

Luego, toman el control total de su sitio web y causan estragos. Los piratas informáticos roban datos, redirigen a los visitantes y envían spam a los clientes, entre una larga lista de otras actividades maliciosas.

Pero no se preocupe porque puede evitar que los piratas informáticos descubran nombres de usuario tomando medidas contra la vulnerabilidad de enumeración de usuarios.

En esta guía, aprenderá qué es la enumeración de usuarios y cómo evitar que los piratas informáticos la exploten.

TL; DR : la enumeración de usuarios puede aumentar las posibilidades de un ataque exitoso de fuerza bruta en su sitio de WordPress. Para evitar esto, puede instalar el complemento de seguridad de MalCare. Detectará y bloqueará automáticamente los intentos de fuerza bruta en su sitio.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Reflexiones finales”]

¿Qué es la enumeración de usuarios?

La enumeración de nombres de usuario es el proceso a través del cual los piratas informáticos pueden encontrar usuarios de un sitio web de WordPress. Escanean el sitio web y recopilan información del usuario (como nombre, ID de correo electrónico) que utilizan para intentar iniciar sesión en el sitio.

Nota: Por usuario, no nos referimos a un visitante o un cliente. Nos referimos a los usuarios que tienen acceso a su panel de administración de WordPress.

¿Por qué es esto un problema? Los piratas informáticos utilizan una técnica llamada ataques de fuerza bruta en la que intentan adivinar su nombre de usuario y contraseña. Programan bots para ingresar miles de combinaciones de nombres de usuario y contraseñas en unos pocos segundos.

Pero si conocían su nombre de usuario, significa que están a solo un paso de obtener acceso a su sitio.

Aquí es donde entra en juego la enumeración de usuarios. Los piratas informáticos intentan averiguar el nombre de usuario mirando los nombres de los autores y las direcciones de correo electrónico en su sitio web.

Hay diferentes formas en que los piratas informáticos pueden encontrar nombres de usuario en su sitio. Es importante comprender los métodos que utilizan los piratas informáticos para implementar medidas contra la enumeración de usuarios.

Tipos de enumeración de usuarios

Los nombres de usuario se almacenan en la base de datos de su sitio de WordPress. Sin embargo, los piratas informáticos no necesariamente tienen que acceder a su base de datos para encontrar esta información.

Detallamos dos técnicas principales que utilizan los piratas informáticos para enumerar a los usuarios en los sitios de WordPress:

1. Uso de archivos de autor

Cada usuario en su sitio de WordPress tiene una identificación única asignada. WordPress utiliza este ID para hacer referencia a la cuenta de usuario correspondiente en la base de datos.

A continuación, a medida que los usuarios de su sitio web crean páginas y publicaciones, WordPress almacena estos datos en un archivo de autor.

El archivo de autor básicamente clasifica las páginas y las publicaciones según quién las creó.

Los piratas informáticos pueden ejecutar secuencias de comandos en su sitio para cargar el archivo del autor, lo que puede revelar las identificaciones de los usuarios. A continuación, ejecutan más secuencias de comandos para averiguar el nombre de usuario vinculado a la ID de usuario.

2. Uso del formulario de inicio de sesión

Cuando ingresa un nombre de usuario no válido en la página de inicio de sesión de WordPress, muestra este mensaje:

Mientras que, si ingresa un nombre de usuario válido y una contraseña incorrecta , WordPress muestra este mensaje:

Esto indica que el nombre de usuario '[email protected]' es un nombre de usuario válido y solo la contraseña es incorrecta.

Los piratas informáticos utilizan herramientas como Burp Intruder para cargar una lista de posibles nombres de usuario para encontrar uno válido examinando esta respuesta de WordPress.

Usando estos métodos, los piratas informáticos pueden descubrir su nombre de usuario y esto los acerca más a la piratería de su sitio web. Puede implementar medidas de seguridad para garantizar que esto no suceda.

Prevención de posibles intentos de enumerar usuarios

Puede detener la enumeración de usuarios utilizando un complemento o insertando manualmente un fragmento de código en sus archivos de WordPress. No recomendamos el método manual porque es extremadamente arriesgado. El más mínimo paso en falso puede romper su sitio web. Sin embargo, vamos a detallar los pasos para ambos.

1. Instale el complemento de enumeración de usuario Stop

Esta es la forma más fácil y eficiente de detener la enumeración de usuarios en su sitio de WordPress. Puede instalar este complemento para detener la enumeración de usuarios en su sitio desde el repositorio de WordPress.

Como sugiere el nombre, el complemento está diseñado para evitar que los piratas informáticos escaneen su sitio en busca de nombres de usuario.

También tiene una característica ingeniosa de registrar direcciones IP que intentan enumerar a sus usuarios. Una dirección IP es un código único asignado a un dispositivo que está conectado a Internet. Los complementos de WordPress Firewall como MalCare están diseñados para detectar direcciones IP que llevan a cabo actividades maliciosas y bloquearlas para que no accedan a su sitio.

Si tiene un firewall instalado en su sitio, puede realizar una verificación cruzada del registro de direcciones IP proporcionado por el complemento Stop User Enumeration con los que su firewall está bloqueando. En caso de que no lo esté bloqueando, la mayoría de los firewalls le permiten ingresar manualmente la dirección IP y ponerla en la lista negra. El cortafuegos evitará automáticamente que la dirección IP acceda a su sitio nunca más.

2. Inserción manual de código para detener la enumeración de usuarios

NOTA: Recuerde, NO RECOMENDAMOS usar este método. En caso de que desee continuar, le recomendamos que realice una copia de seguridad de su sitio de WordPress. Si algo sale mal, puede restaurar su sitio web a la normalidad.

Paso 1: inicie sesión en su cuenta de hosting, vaya a cPanel > Administrador de archivos . (También puede acceder a sus archivos usando un FTP como FileZilla).

Paso 2: abre la carpeta public_html , ve a wp-content y accede a la carpeta de tu tema . Recuerde elegir el tema que está activo en su sitio.

Paso 3: Aquí puedes encontrar el archivo function.php de tu tema. Haga clic derecho y edite este archivo.

Paso 4: Inserta el siguiente código:

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

Guarde los cambios y cierre el archivo. La enumeración de usuarios debe estar bloqueada en su sitio web.

Con eso, llegamos al final de la protección de su sitio web contra la enumeración de usuarios. También recomendamos encarecidamente utilizar un nombre de usuario que no esté disponible en su sitio. Por ejemplo, si tiene miembros del equipo y nombres de autores de blogs que se muestran en su sitio, sería prudente mantener un nombre de administrador que sea diferente.

Pensamientos finales

Al bloquear la enumeración de usuarios en el sitio de WordPress, reduce las posibilidades de ataques de fuerza bruta. Los piratas suelen apuntar a sitios que son fáciles de piratear. Sus bots harán algunos intentos fallidos y abandonarán su sitio.

Sin embargo, los ataques de fuerza bruta son solo una de las amenazas de seguridad de las que necesita proteger su sitio de WordPress de los piratas informáticos.

Recomendamos enfáticamente activar un complemento de seguridad que escaneará su sitio regularmente para asegurarse de que esté limpio y libre de malware. También bloqueará proactivamente el acceso de los piratas informáticos a su sitio web.

Puede operar su sitio con la tranquilidad de saber que su sitio web está protegido.

¡Proteja su sitio de WordPress con MalCare!