WP Author Security

Descripción

WP Author Security es un plugin ligero, pero potente, para proteger frente a ataques de enumeración de usuarios en las páginas de los autores y otros lugares donde se pueden obtener los nombres de usuario válidos.

Por defecto, WordPress mostrará alguna información sensible en las páginas de los autores.
La página del autor típicamente es llamada solicitando la URI https://tu-dominio.tld/?author=<id> o con los enlaces permanentes https://tu-dominio.tld/author/<username>.
La página incluirá (dependiendo de tu tema) el nombre completo (nombre y apellidos), así como el nombre de usuario del autor, que es usado para acceder a WordPress.

En algunos casos, no se quiere exponer esta información al público. Un atacante es capaz de forzar por fuerza bruta los ID o nombres de usuario válidos. Esta información puede ser usada para otros ataques, como los ataques de ingeniería social o los ataques de acceso por fuerza bruta con los nombres de usuario obtenidos.
Sin embargo, cuando se usa el plugin y desactivas completamente las páginas de los autores, debes tener en cuenta que hay tienes que tener cuidado de que tu tema activo no muestre el propio nombre del autor en las entradas, como “Publicada por el Administrador” o algo como eso. Esto es algo que el plugin no gestionará (por el momento).

Al usar la extensión, puedes desactivar completamente las páginas de los autores o mostrarlas solo cuando el autor tiene, al menos, una entrada publicada. Cuando la página está desactivada, se muestra la página de error 404 predeterminada del tema activo.

Además, el plugin también protegerá otras ubicaciones que son comúnmente usadas por los atacantes para obtener nombres de usuario válidos. Estas son:

  • La API REST para los usuario que listará por defecto todos los usuarios con entradas publicadas.
    https://tu-dominio.tld/wp-json/wp/v2/users
  • La página de acceso, donde diferentes mensajes de error indicarán si existe o no el nombre de usuario o la dirección de correo electrónico introducidos. El plugin mostrará un mensaje de error neutro, independientemente de si el usuario existe o no.
  • La función para la contraseña olvidada también permitirá a un atacante comprobar la existencia de un usuario. En cuanto a la página de acceso, el plugin mostrará un mensaje neutro, incluso cuando el usuario no exista.
  • Requesting the feed endpoint /feed of your blog will also allow others to see the username or display name of the author. The plugin will remove the name from the result list.
  • WordPress supports so-called oEmbeds. This is a technique to embed a reference to a post into another post. However, this reference will also contain the author name and a direct link to the profile page. The plugin will also remove the name and link here.
  • Since WordPress 5.5 a default sitemap can be reached via /wp-sitemap.xml. This sitemap will disclose the usernames of all authors. If this should not be disclosed you are able to disable this feature of WordPress.

Capturas

  • Ajustes de administración
  • Página 404 cuando se solicita la página del autor por el ID de usuario.
  • Mensaje de error de acceso cuando existe el nombre de usuario, pero se introduce una contraseña errónea.

Instalación

  1. Instala el plugin a través del escritorio en “Plugins > Añadir nuevo” o sube la carpeta del plugin “wp-author-security” del archivo ZIP a tu directorio de plugins de WordPress “wp-content/plugins/” (por ejemplo, a través de FTP)
  2. Activa el plugin en el backend de WordPress
  3. Personaliza los ajustes navegando a “Ajustes > WP Author Security

Reseñas

6 de marzo de 2024
So annoying to constantly change my username or modify themes to stop script kiddies and hackers from finding my usernames simply from looking at a theme's page source or running a basic script. This removed my username from the view source page. My site is functioning without errors despite this plugin not yet tested with my version of WP. No clue if there are other areas my username might be displayed that this plugin is missing. Hoping not. I first tried WP Ghost over and over but could not get past its sandboxed logon test. So this is the next best way of hiding my non-admin public facing author username (I never post with admin user). Anyhow thanks for this plugin.
3 de octubre de 2023
Very very good , thank youI searched a lot until I found this plugin.Friends, other plugins will lose SEO by changing the url, but this plugin is not like thatJust the publisher, don't forget to update so that we don't have a problem and don't need another plugin
Leer todas las 2 reseñas

Colaboradores y desarrolladores

Este software es de código abierto. Las siguientes personas han contribuido a este plugin.

Colaboradores

"WP Author Security" ha sido traducido a 4 idiomas locales. Gracias a los traductores por sus contribuciones.

Traduce "WP Author Security" a tu idioma.

¿Interesado en el desarrollo?

Revisa el código, echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.

Registro de cambios

1.5.0

  • added basic statistics to the settings page
  • bugfix password forgotten protection

1.4.1

  • Bugfix error on login check

1.4.0

  • added protection for the wp-sitemap.xml author disclosure

1.3.0

  • added protection for the /feed endpoint
  • added protection for the oEmbed endpoint

1.2.1

  • Documentación actualizada
  • Corrección de un fallo en la detección errónea del correo

1.2.0

  • Añadida la protección para la página de acceso y de contraseña olvidada
  • Añadida compatibilidad para los idiomas de/en

1.1.0

  • Añadida la protección para la API REST

1.0.0

  • Versión inicial