28mar
9

Evita que WordPress dé pistas a los intrusos

WordPress es un sistema tan elaborado que a veces se pasa de amigable. Un buen ejemplo de esto es cuando te equivocas en la pantalla de acceso, pues siempre te dice “en qué te has equivocado“. De este modo, si al tratar de acceder al área de administración, si equivocas el nombre te dice “que el usuario no es correcto“, y si te equivocas en la clave te avisa “que la contraseña no es correcta“.

pistawp2 pistawp1

Esto, que sirve de ayuda al usuario bienintencionado, es un regalo para un posible intruso pues le avisa de en qué se ha equivocado, le da pistas.

Afortunadamente solucionarlo es bien sencillo, solo tienes que añadir la siguiente línea al fichero ‘functions.php‘ de tu plantilla:

add_filter('login_errors',create_function('$a', "return null;")); <!--Hace que WP no informe de que falla en el login-->

Lo que consigues es que no se muestren estos mensajes, el campo de información del error sale en blanco.

sinpistawp

Por supuesto, también acuérdate de no dar otras pistas, como utilizar el usuario ‘admin’ por defecto.

Para saber más:

por en Seguridad, Tutoriales / Trucos, Wordpress.org Administración, Avanzado, PHP

  • Pingback: Bitacoras.com

  • http://www.netambulo.com Netámbulo

    Muy útil, si señor.

    J.

  • http://www.ellashoy.com mujer moderna

    esto es muy importante, porque no sabes en que momento estan tratando de vulnerar tu sitio y mientras mas dificil la pongas, las posibilidades de vulneracion de tu sistema son menores.

  • http://www.laobesidad.net La Obesidad

    Como tengo poca experiencia con WordPress, la verdad que no me había percatado de esta situación… voy a corregirlo inmediatamente. Gracias por el dato.

  • http://macoreo.com JuniHH

    Lo acabo de aplicar a mis blog’s (tengo 2) y en ambos tuve un error en la linea ….

    No se que pude hacer mal, pero lamentablemente este truco no me funciona en mi instalacion de 2.7.1.

    • http://www.facebook.com/giObanii Giöbanii Fiöri

      bueno a mi tambien me habia salido un error en una linea pero es por que esto afectaba a mi codigo se lo removi o lo cambie a //Hace que WP no informe de que falla en el log y todo perfecto ..

      Saludos..

  • Pingback: Cambiar las URLs de acceso y administración de WordPress | Ayuda WordPress

  • http://twitter.com/xaviersarrate xavier sarrate

    Mejor utilizar las funciones que ofrece WordPress para estos casos:

    add_filter('login_errors', '__return_false');
    ;-)

  • Pingback: Los 3 modos más comunes de hackear WordPress y cómo evitarlo | Ayuda WordPress