Como averiguar el usuario ADMIN de WordPress y como protegerlo

La seguridad de WordPress es una cosa que debemos tener en cuenta, y sobretodo debemos tener especial cuidado con la cuenta de administrador de WordPress, ya que en el 30% de las intrusiones el problema viene por un acceso no permitido a la cuenta de administrador de WordPress que termina con daños graves e irreparables.

Hace aproximadamente un año, WordPress casi no tenía ningún método para proteger la cuenta de administrador, es decir, ni se recomendaba al cliente tener una contraseña segura, ni se permitía cambiar por métodos convencionales el nombre del usuario administrador.
En las últimas versiones de WordPress eso ha cambiado y ahora mismo WordPress permite cambiar el nombre del usuario administrador para “despistar” a los bots, y además WordPress durante la instalación y en la configuración del usuario pide al usuario una contraseña segura que incluya números, letras y símbolos de puntuación.

seguridad wordpress

Pero a pesar de todo esto, aún sigue siendo muy fácil obtener el nombre del usuario administrador debido a que TODAS las instalaciones de WordPress de forma predeterminada configuran el usuario ADMIN (tenga el nombre que tenga) para que funcione con la ID número 1 y aquí es donde viene el problema.

Vamos a hacer una prueba de esto, si vamos a nuestro navegador web y ponemos el dominio y la siguiente query:

seguridad wordpress

Con esto, al pulsar ENTER nos aparecerá la siguiente URL si tenemos activadas las URL amigables, como ves, en la URL ha aparecido el usuario que tiene asignada la ID 1, que normalmente de forma predeterminada es el usuario administrador.

seguridad wordpress

Esto es un problema de seguridad, ya que un intruso al conocer el usuario puede lanzar fácilmente ataques de fuerza bruta para intentar sacar la contraseña, esto es algo que podemos evitar protegiéndonos, pero que también podemos evitar esto cambiando el nombre visible del usuario.

 

CAMBIAR LA URL DE AUTOR DEL USUARIO ADMIN

En primer lugar, te dejo un video en el que podrás ver cómo cambiar en la base de datos el parámetro necesario para proteger tu WordPress de este tipo de acciones:

Realmente lo que tienes que hacer es entrar a la base de datos MySQL de tu WordPress usando un editor gráfico, en este caso vamos a usar PHPMyAdmin.

Entramos a la base de datos en PHPMyAdmin y tendremos delante las tablas de WordPress:

seguridad wordpress

Tenemos que entrar a la tabla USERS marcada en la anterior imagen con un cuadro rojo.

Una vez que estamos en la tabla USERS pulsamos sobre “Editar” en el usuario con la ID 1 (el administrador):

seguridad wordpress

Y ahora en la pantalla que nos aparece debemos cambiar el campo “user_nicename”, de forma predeterminada el campo contendrá el nombre de usuario, pero si lo cambiamos podemos poner cualquiera, de forma que cuando hagamos la prueba de nuevo en el slug de la URL de autor aparecerá el nombre falso.

seguridad wordpress

En este caso, por ejemplo, vamos a ponerle “raiola” en lugar de “admin” y guardamos pulsando el botón “Continuar” abajo a la derecha (en PHPMyAdmin):

seguridad wordpress

Ahora podemos comprobar otra vez con la query en el navegador:

seguridad wordpress

Y como podrás ver, ahora muestra el nombre de usuario falso que en ningún caso sirve para autentificarse en el back-end de WordPress.

La seguridad de WordPress es todo un mundo, si quieres saber algo más sobre cómo proteger tu WordPress puedes revisar también los siguientes artículos:

Share on twitter
Compartir en Twitter
Share on facebook
Compartir en Facebook
Share on pinterest
Compartir en Pinterest

¿Te gusta el blog?

Apúntate al boletín y te enviaremos los mejores artículos una vez al mes.

¿Te ayudamos?

Escríbenos si tienes dudas o necesitas una solución específica. Nuestros expertos te ayudarán en todo lo posible.

Sé el primero en enterarte de ofertas, sorteos y novedades.

Tenemos 8 comentarios en

"Como averiguar el usuario ADMIN de WordPress y como protegerlo"

8 respuestas

  1. Fácil y rápido. He aplicado estos cambios en menos de 5 minutos a varias webs que administro. Saludos Álvaro.

  2. Hola y para cambiar la contraseña?? trabajo en una empresa donde no dejaron documentado el usuario ni el password de la pagina en wordpress

    1. Hola, Stiven.

      Tendrías que localizar en la tabla wp_users el usuario cuya contraseña quieras recuperar.

      Una vez localizado, edita la columna user_pass con la nueva contraseña que quieras poner.

      Eso sí, antes de guardar tendrás que elegir la opción MD5 en el campo que está a la izquierda de la contraseña. Te paso una captura de pantalla donde puedes ver lo que comento:

      https://uploads.disquscdn.c

      En mi caso pongo la contraseña «minuevopasswordsecreto» y, como ves, elijo la opción MD5 en el campo de funcion. Con eso, al guardar, el usuario que hayas modificado pasará a tener esa contraseña de forma inmediata.

      Un saludo.

  3. Hola, resulta que formatearon el disco y perdieron el User y Pass, y para colmo, no tengo acceso al host para averiguar dichos datos, de que otra manera puedo recuperarlo??

    1. Hola, Lulu:

      precisamente contesté a esa respuesta en otro comentario en el que respondí a @stivenac:disqus .

      La idea es que accedas mediante phpMyAdmin a la base de datos, accedas a la tabla wp_users y allí localices el usuario cuya contraseña quieras recuperar.

      Una vez localizado, edita la columna user_pass con la nueva contraseña que quieras poner.

      Eso sí, antes de guardar tendrás que elegir la opción MD5 en el campo que está a la izquierda de la contraseña. Fíjate en el comentario que te comentaba y en él verás una captura de pantalla que te ayudará a orientarte.

      Alternativamente, puedes usar la opción de WordPress para «recuperar contraseña» que te permite recibir un correo electrónico en el email asociado al usuario con el que quieras entrar. Para eso verás un link en la parte inferior de la propia pantalla de acceso a WordPress.

      ¡Un saludo!

    1. Hola Marcelo, comprueba que no sea algo de cache. Esto sigue funcionando, aunque ahora directamente se suelen redireccionar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies propias y de terceros para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales. Si continúas navegando, consideramos que aceptas nuestra Política de cookies. ACEPTAR

Aviso de cookies