Numeración de los usuarios

Cuando se crean las tablas de WordPress, todos los sistemas de auto incremento comienzan en la cifra número 1. Esto hace que el primer usuario que crees será el usuario con identificador 1, el siguiente es el 2.

Los sistemas que atacan los usuarios de forma automática, aprovechan esta numeración y suelen analizar los usuarios entre el 1 y el 10, como punto de inicio. Así que una vez hayas realizado la instalación de tu WordPress, el siguiente paso es cambiar esta numeración automática.

ALTER TABLE wp_users AUTO_INCREMENT = 128;

Recuerda cambiar el prefijo ‘wp_’ de la tabla por el que hayas elegido.

En este momento, volveremos a acceder al WordPress, crearemos un nuevo usuario administrador, y eliminaremos el usuario generado por la instalación, que ya no será de utilidad.

Con este sistema, en principio, ese nuevo usuario (y los siguientes) habrán comenzado por la cifra 128, de forma que cualquier ataque que se quiera realizar de forma secuencial quedará invalidado.

2 comentarios en “Numeración de los usuarios

  1. Hola Javi, buen truco.

    Una cosa, ¿hay forma de, una vez hecho el autoincrement, hacer que la tabla de o bien un identificador aleatorio, o bien que se restaura el orden de numeración de los IDs?

    Te cuento, si haces esto, te aseguras que tu admin no esté entre los 128 primeros Ids, eso es cierto, pero si alguien con mala baba rascara un poco, podría ver que el primer usuario, el admin original de la instalación, es el 1 y que de repente se produce un salto hasta el 128 y luego vendría el 129 y así sucesivamente…

    Si es un poco avispado, se barruntará que el 128 es el nuevo admin, con lo que el truco se habrá quedado sin efecto… 🙂

    ¿Alguna idea?

  2. A ver, la idea es que al crear el WordPress se creará con el usuario “id = 1” automáticamente, por lo que una vez crees que WordPress, lo siguiente es ejecutar esta consulta del SQL, y crear un “segundo usuario admin” que será, en este caso, el 128, y borrar el usuario de ID = 1 (moviendo todas las cosas -por defecto- al nuevo).

    Obviamente esto hará que tu primero usuario sea ese 128 (o el número que le pongas, que por poner, puede ser 1024…). Normalmente los “software automáticos” analizan los 10 primeros usuarios, los más arriesgados, analizan los 100 primeros… obviamente, esto es un simple sistema de prevención general, pero no la solución.

    Para ello también existe la posibilidad de bloquear otros elementos, como el “author=” de las URL. Este sistema está pensado para prevenir “la base de datos”, pero hay más temas a tratar con los Usuarios.

Deja un comentario