Tutorial: Descubrimiento usuario ADMIN en Wordpress

epsilo99 · 18 Jun 2014

Advertencia: Este tutorial no busca facilitar el trabajo a quienes intenta entrar a tu wodpress pues este truco es algo sabido por muchos, sino todo lo contrario, enseñarte de este pequeño bug de wordpress para que puedas prevenir ataques de acceso a tus instalaciones.

¿Qué es el usuario Admin?
Es el nombre que pones junto a la contraseña para ingresar a tu Wordpress. Si dejas visible este dato ya le dejas la mitad del trabajo hecho a cualquiera que quiera ingresar a tu blog, pues sólo le faltará la contraseña, pues el nombre ya lo tiene. Por eso es importante ocultarlo.

¿Cómo descubrir el usuario admin de Wordpress?

Muy fácil, agrega al final de la url de cualquier blog de wordpress lo siguiente:

HTML:

/?author=1

Por ejemplo:

HTML:

http://miblogwordpress.com/?author=1

Esto mostrará una url como la siguiente

HTML:

http://miblogwordpress.com/author/usuarioadmin

Donde usuarioadmin es el nombre de usuario que el autor del blog utilizaría para ingresar.

Grave error que muchos comenten: En wordpress, en la lista de usuarios existe un campo para agregar un ALIAS, esto hace que se muestre otro nombre en lugar del usuario admin cuando publicas tus entradas, pero no modifica la "url amigable" de la página del autor que seguirá mostrando tu usuario admin con simplemente aplicar el código anterior.

¿Cómo evitar que mi usuario admin se muestre en la url?

Aquí viene lo más interesante de este tutorial, pues ya vimos que cambiando el alias esta url no cambia, de modo que no nos queda más camino que entrar a editar la base de datos de nuestro wordpress. No se asusten, es una edición muy sencilla y la explicaré paso a paso.

1) En tu panel de control ingresa a phpMyAdmin

2) Una vez que ingreses buscas la base de datos de tu blog, expandes las tablas y haces clic en wp_users

3) Y luego haces clic en editar para editar el usuario

4) Una vez realizado esto se verá una ventana como la siguiente, aquí editaremos nuestro user_nicename, en esta fila debes poner tu nombre de admin falso en donde aparece encerrado.

¿Cómo se si esto funcionó?

Fácil, vuelve a escribir el código que te mostré al principio y verás que tu nombre de admin ya no aparece, en su lugar aparecerá lo que hayas puesto en el user_nicename

Espero les haya gustado este tutorial, y los espero en mis próximas publicaciones.
Cualquier consulta con gusto trataré de ayudarte

Comentarios finales (Febrero 2018)

Primero comentarles que si bien la publicación tiene un tiempo de publicada, el código aún funciona, puede que tengas algún plugin como Yoast Seo que redirecciones las páginas de los usuarios incluidos el admin, al home y esto no funcione directamente, pero como comentó [MENTION=113608]belze7[/MENTION] recientemente, a pesar de las reiteradas actualizaciones de wp el usuario admin se puede seguir viendo fácilmente desde el código fuente de la página o simplemente poniendo el cursor sobre el nombre del autor de un post, que aunque agregues un alias, si publicas con tu cuenta de administrador en la url se sigue viendo el user. Por lo que el tutorial sigue siendo válido y es la forma manual de ocultarte sin instalación de plugins extra.

kamilo19934 · 18 Jun 2014

EXCELENTEE ! Nunca lo busqué pero lo queria ajja Saludos !

TheZDownload · 18 Jun 2014

PRO PRO, tremendo tuto :encouragement: , esto ayudara a evitar a los hack.

Lopezito · 18 Jun 2014

Si bien, el tuto está bien hecho, creo que no es la forma más cómoda para las personas, en la configuración de nuestro perfil lo podemos hacer.. Panel -> Usuarios -> Tu perfil -> Alias.

TheZDownload dijo:
PRO PRO, tremendo tuto :encouragement: , esto ayudara a evitar a los hack.

... yo prefiero cuidarme en otras cosas, que dejar el nick del admin al aire ...

epsilo99 · 18 Jun 2014

Lopezito dijo:
Si bien, el tuto está bien hecho, creo que no es la forma más cómoda para las personas, en la configuración de nuestro perfil lo podemos hacer.. Panel -> Usuarios -> Tu perfil -> Alias.

... yo prefiero cuidarme en otras cosas, que dejar el nick del admin al aire ...

Eso pensé yo justamente, para que meterme en la base de datos si desde el alias esto se soluciona! Y para mi sorpresa esto no es así, pues cambiando el alias sólo se cambia el nombre que se muestra en pantalla pero no la url del administrador!

Lo he probado en varios wordpress y no hay más que entrar a la base de datos.

De aquí mi motivación a realizar este tutorial, pues siempre pensé que cambiando el alias ya estaba y para mi sorpresa mi nombre de administrador era muy facil de obtener igual por este método!

websgp · 18 Jun 2014

Nuy buen tutorial

Eliop · 18 Jun 2014

Muchas gracias, parece que así es como un usuario que intentaba acceder a mi sitio obtenía mi usuario. Gracias y lo hago ya.

letasgon · 18 Jun 2014

Gracias por el consejo, muy útil.

Lopezito · 18 Jun 2014

epsilo99 dijo:
Eso pensé yo justamente, para que meterme en la base de datos si desde el alias esto se soluciona! Y para mi sorpresa esto no es así, pues cambiando el alias sólo se cambia el nombre que se muestra en pantalla pero no la url del administrador!

Lo he probado en varios wordpress y no hay más que entrar a la base de datos.

De aquí mi motivación a realizar este tutorial, pues siempre pensé que cambiando el alias ya estaba y para mi sorpresa mi nombre de administrador era muy facil de obtener igual por este método!

Ahí te tengo que dar la razón, recién probé, y es así.

Eliop dijo:
Muchas gracias, parece que así es como un usuario que intentaba acceder a mi sitio obtenía mi usuario. Gracias y lo hago ya.

Los ataques podes prevenirlo mediante el uso de un limitador de login's erroneos.

epsilo99 · 18 Jun 2014

Lopezito dijo:
Ahí te tengo que dar la razón, recién probé, y es así.

Los ataques podes prevenirlo mediante el uso de un limitador de login's erroneos.

Gracias por certificarlo :encouragement:

Obviamente no es lo único en cuanto a seguridad pero contribuye a darle una capa más de inmunidad a nuestro blog y es un obstáculo más para quienes quieran entrar sin permiso

8:

Eliop · 18 Jun 2014

Lopezito dijo:
Los ataques podes prevenirlo mediante el uso de un limitador de login's erroneos.

Sí compañero, limité el intento de logins a 1 vez y así se solucionó el problema. Aunque ya implementé este tutorial por si las moscas

.
Saludos.

blogers · 18 Jun 2014

Me gusto el tuto pero yo quiero conseguir el password para robarles todas sus entradas es posible eso colega

LuisNara · 18 Jun 2014

Gracias :encouragement:

Yassine Taliouan · 18 Jun 2014

muyy bueno no sabia este truco gracias

Naster · 18 Jun 2014

Muchas gracias por el tutorial. No sabia que asi se podia saber el admin

emanueletrix · 18 Jun 2014

muchas gracias amigo sera de mucha utilidad :encouragement:

epsilo99 · 18 Jun 2014

Gracias a todos por los comentarios y por lo me gusta :encouragement:

Me deja muy contento que el material les sea de utilidad

blogers dijo:
Me gusto el tuto pero yo quiero conseguir el password para robarles todas sus entradas es posible eso colega

No eso no es posible, además sería contenido duplicado :devilish::devilish::devilish::devilish:

Hardwell · 18 Jun 2014

Jajajaja muy bueno!

epsilo99 · 18 Jun 2014

iDeadMau5 dijo:
Jajajaja muy bueno!

Me alegro que te haya gustado :encouragement:

Enzu · 18 Jun 2014

Buen dato, justo me preguntaba como unos bots intentaban entrar a mi Worpress por fuerza bruta con el nombre de usuario correcto que tiene actualmente...

Bueno intente aplicarlo, pero esa sintaxis de url no funciona con una web mia, sabes si algún plugin lo puede inhabilitar, tal vez wordfence?