Tutorial: Descubrimiento usuario ADMIN en Wordpress

epsilo99 Seguir

1
Xi
Verificación en dos pasos activada
Verificado por Whatsapp
Suscripción a IA
Desde
1 Dic 2011
Mensajes
4.136
Advertencia: Este tutorial no busca facilitar el trabajo a quienes intenta entrar a tu wodpress pues este truco es algo sabido por muchos, sino todo lo contrario, enseñarte de este pequeño bug de wordpress para que puedas prevenir ataques de acceso a tus instalaciones.

¿Qué es el usuario Admin?
Es el nombre que pones junto a la contraseña para ingresar a tu Wordpress. Si dejas visible este dato ya le dejas la mitad del trabajo hecho a cualquiera que quiera ingresar a tu blog, pues sólo le faltará la contraseña, pues el nombre ya lo tiene. Por eso es importante ocultarlo.

¿Cómo descubrir el usuario admin de Wordpress?

Muy fácil, agrega al final de la url de cualquier blog de wordpress lo siguiente:

HTML:
/?author=1

Por ejemplo:

HTML:
http://miblogwordpress.com/?author=1

Esto mostrará una url como la siguiente

HTML:
http://miblogwordpress.com/author/usuarioadmin

Donde usuarioadmin es el nombre de usuario que el autor del blog utilizaría para ingresar.




Grave error que muchos comenten: En wordpress, en la lista de usuarios existe un campo para agregar un ALIAS, esto hace que se muestre otro nombre en lugar del usuario admin cuando publicas tus entradas, pero no modifica la "url amigable" de la página del autor que seguirá mostrando tu usuario admin con simplemente aplicar el código anterior.




¿Cómo evitar que mi usuario admin se muestre en la url?

Aquí viene lo más interesante de este tutorial, pues ya vimos que cambiando el alias esta url no cambia, de modo que no nos queda más camino que entrar a editar la base de datos de nuestro wordpress. No se asusten, es una edición muy sencilla y la explicaré paso a paso.

1) En tu panel de control ingresa a phpMyAdmin

14-6-2014 0.6.26 4.jpg

2) Una vez que ingreses buscas la base de datos de tu blog, expandes las tablas y haces clic en wp_users

14-6-2014 0.6.27 1.jpg

3) Y luego haces clic en editar para editar el usuario

14-6-2014 0.6.57 2.jpg

4) Una vez realizado esto se verá una ventana como la siguiente, aquí editaremos nuestro user_nicename, en esta fila debes poner tu nombre de admin falso en donde aparece encerrado.

14-6-2014 0.6.38 3.jpg

¿Cómo se si esto funcionó?

Fácil, vuelve a escribir el código que te mostré al principio y verás que tu nombre de admin ya no aparece, en su lugar aparecerá lo que hayas puesto en el user_nicename

Espero les haya gustado este tutorial, y los espero en mis próximas publicaciones.
Cualquier consulta con gusto trataré de ayudarte :)

Comentarios finales (Febrero 2018)

Primero comentarles que si bien la publicación tiene un tiempo de publicada, el código aún funciona, puede que tengas algún plugin como Yoast Seo que redirecciones las páginas de los usuarios incluidos el admin, al home y esto no funcione directamente, pero como comentó [MENTION=113608]belze7[/MENTION] recientemente, a pesar de las reiteradas actualizaciones de wp el usuario admin se puede seguir viendo fácilmente desde el código fuente de la página o simplemente poniendo el cursor sobre el nombre del autor de un post, que aunque agregues un alias, si publicas con tu cuenta de administrador en la url se sigue viendo el user. Por lo que el tutorial sigue siendo válido y es la forma manual de ocultarte sin instalación de plugins extra.
 
Última edición:

kamilo19934

Delta
Verificación en dos pasos activada
¡Ha verificado su Paypal!
Verificado por Binance
Desde
10 May 2014
Mensajes
614
EXCELENTEE ! Nunca lo busqué pero lo queria ajja Saludos !
 

Lopezito

Zeta
Diseñador
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
13 Dic 2011
Mensajes
1.515
Si bien, el tuto está bien hecho, creo que no es la forma más cómoda para las personas, en la configuración de nuestro perfil lo podemos hacer.. Panel -> Usuarios -> Tu perfil -> Alias.

PRO PRO, tremendo tuto :encouragement: , esto ayudara a evitar a los hack.

... yo prefiero cuidarme en otras cosas, que dejar el nick del admin al aire ...
 

epsilo99

1
Xi
Verificación en dos pasos activada
Verificado por Whatsapp
Suscripción a IA
Desde
1 Dic 2011
Mensajes
4.136
Si bien, el tuto está bien hecho, creo que no es la forma más cómoda para las personas, en la configuración de nuestro perfil lo podemos hacer.. Panel -> Usuarios -> Tu perfil -> Alias.

... yo prefiero cuidarme en otras cosas, que dejar el nick del admin al aire ...

Eso pensé yo justamente, para que meterme en la base de datos si desde el alias esto se soluciona! Y para mi sorpresa esto no es así, pues cambiando el alias sólo se cambia el nombre que se muestra en pantalla pero no la url del administrador!

Lo he probado en varios wordpress y no hay más que entrar a la base de datos.

De aquí mi motivación a realizar este tutorial, pues siempre pensé que cambiando el alias ya estaba y para mi sorpresa mi nombre de administrador era muy facil de obtener igual por este método!
 

Eliop

Lambda
Social Media
Verificación en dos pasos activada
Desde
12 Jun 2011
Mensajes
2.879
Muchas gracias, parece que así es como un usuario que intentaba acceder a mi sitio obtenía mi usuario. Gracias y lo hago ya.
 

Lopezito

Zeta
Diseñador
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
13 Dic 2011
Mensajes
1.515
Eso pensé yo justamente, para que meterme en la base de datos si desde el alias esto se soluciona! Y para mi sorpresa esto no es así, pues cambiando el alias sólo se cambia el nombre que se muestra en pantalla pero no la url del administrador!

Lo he probado en varios wordpress y no hay más que entrar a la base de datos.

De aquí mi motivación a realizar este tutorial, pues siempre pensé que cambiando el alias ya estaba y para mi sorpresa mi nombre de administrador era muy facil de obtener igual por este método!

Ahí te tengo que dar la razón, recién probé, y es así.

Muchas gracias, parece que así es como un usuario que intentaba acceder a mi sitio obtenía mi usuario. Gracias y lo hago ya.

Los ataques podes prevenirlo mediante el uso de un limitador de login's erroneos.
 

epsilo99

1
Xi
Verificación en dos pasos activada
Verificado por Whatsapp
Suscripción a IA
Desde
1 Dic 2011
Mensajes
4.136
Ahí te tengo que dar la razón, recién probé, y es así.

Los ataques podes prevenirlo mediante el uso de un limitador de login's erroneos.

Gracias por certificarlo :encouragement:

Obviamente no es lo único en cuanto a seguridad pero contribuye a darle una capa más de inmunidad a nuestro blog y es un obstáculo más para quienes quieran entrar sin permiso :p8:
 

Eliop

Lambda
Social Media
Verificación en dos pasos activada
Desde
12 Jun 2011
Mensajes
2.879
Los ataques podes prevenirlo mediante el uso de un limitador de login's erroneos.

Sí compañero, limité el intento de logins a 1 vez y así se solucionó el problema. Aunque ya implementé este tutorial por si las moscas :).
Saludos.
 

blogers

Pi
SEO
Desde
22 Ago 2010
Mensajes
6.590
Por favor, ten en cuenta 📝 que si deseas hacer un trato 🤝 con este usuario, está baneado 🔒.
Me gusto el tuto pero yo quiero conseguir el password para robarles todas sus entradas es posible eso colega
 

emanueletrix

Préstamo
Eta
Social Media
Desde
20 Dic 2009
Mensajes
1.352
Por favor, ten en cuenta 📝 que si deseas hacer un trato 🤝 con este usuario, está baneado 🔒.
muchas gracias amigo sera de mucha utilidad :encouragement:
 

epsilo99

1
Xi
Verificación en dos pasos activada
Verificado por Whatsapp
Suscripción a IA
Desde
1 Dic 2011
Mensajes
4.136
Gracias a todos por los comentarios y por lo me gusta :encouragement:

Me deja muy contento que el material les sea de utilidad :):):)

Me gusto el tuto pero yo quiero conseguir el password para robarles todas sus entradas es posible eso colega

No eso no es posible, además sería contenido duplicado :devilish::devilish::devilish::devilish:
 

Hardwell

Préstamo
Gamma
Programador
Desde
2 Jun 2013
Mensajes
294
Por favor, ten en cuenta 📝 que si deseas hacer un trato 🤝 con este usuario, está baneado 🔒.
Jajajaja muy bueno!
 

Enzu

Delta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
24 Oct 2011
Mensajes
547
Buen dato, justo me preguntaba como unos bots intentaban entrar a mi Worpress por fuerza bruta con el nombre de usuario correcto que tiene actualmente...;)
Bueno intente aplicarlo, pero esa sintaxis de url no funciona con una web mia, sabes si algún plugin lo puede inhabilitar, tal vez wordfence?
 
Última edición:
Arriba