WordPress: fallo seguridad en URL Author (solución)

26 junio, 2014 Deja un comentario

Modificar la URL del Author en WordPress

Fusion-Candado+LogoWordpress_mini
Pictograma – Fallo seguridad WP

¿Por qué se hace necesario este detalle?

Porque cuando escribimos un post/artículo nos marcará el nombre del autor que lo escribió, salvo que tu tema no contemple esa posibilidad.

Si en tu caso, se ve el nombre del autor, deberás vigilar un detalle que no es perceptible a simple vista.

De hecho, muchas personas que dicen ser profesionales del gremio (diseño web WordPress) no prestan atención a este detalle, sin darse cuenta de que están entregando gratuitamente, el 50% de información al acceso de login en WordPress, para un posible ataque hacker.

Índice

  1. No basta con poner sólo un Alias
  2. ¿Dónde te lleva la URL (enlace) del Autor del post/artículo?
  3. SF Author Url Control (plugin WordPress)
  4. Guía funcionamiento plugin: SF Author Url Control
    Paso 1. Página de Autor base
    Paso 2. Slug URL del autor
  5. Videotutorial
  6. Opinión

No basta con poner sólo un Alias

Seguro que estás pensando que ese detalle consiste en cambiar el nombre nativo por un alias, algo que puedes hacer desde esta ruta:

  • Escritorio WordPress > Usuarios > Tu perfil > Alias.
    Aquí ponemos el nombre que queremos, diferenciado así de nuestro nombre de login para acceder a WordPress.
WordPress-Usuarios-Tu-Perfil-Alias_mini
Ruta para poner Alias al autor de los post/artículos

Sin embargo, la seguridad de nuestro nombre de login (entrada) se ve comprometida al seguir existiendo en la URL (enlace) donde te lleva el autor de la entrada, una vez haces clic sobre su nombre.

↑ Volver al índice ↑

icono_lupa_exclamation¿Dónde te lleva la URL (enlace) del Autor del post/artículo?

A una dirección (URL) nativa, del tipo a ésta:

http://tudominio.com/author/tunombredeloginwp/

Este enlace te recarga de nuevo todas las entradas de dicho autor, pero si te fijas en la dirección URL que te deja en el navegador, verás que revela tu nombre real de login (acceso) al panel de administración de WordPress.

Banner_Redes_WordPress-Fallo-Seguridad-Author_Joan-Morci
Banner – WordPress: fallo seguridad en URL Author (solución)

Esto a todas luces es un fallo garrafal de WordPress, el cual no termina de ser corregido de forma nativa.

↑ Volver al índice ↑

icono_pluginSF Author Url Control (plugin WordPress)

Estuve investigando las posibilidades porque no sabia si existía un plugin que hiciera esto posible, y la realidad es que prefería hacerlo por código, a pesar de que con cada nueva actualización de WordPress o tema, tuviera que meterlo de nuevo.

Pero cuando vi cierto plugin (facilillo) y lo probé, preferí el plugin SF Author Url Control (autor: ScreenfeedFr). Sirve para varios autores también, pero debes ir especificando sus nombres tú, uno por uno, a diferencia del siguiente (el cual fue probado por ‘AyudaWP’).

Banner_Plugin-SF-Author-Url-Control
Plugin – ‘SF Author Url Control’

ojo-avisoNota: como curiosidad quise enlazar como ‘Autor’ una página ya creada por mí, la cual era ‘Bio’, pero no me permitió hacerlo, porque consideraba que ya estaba siendo utilizada (ya que había sido creada hace tiempo).

Tuve que enlazar a una página que había creado en ese mismo instante (que es la actual ‘Autor’) para poder hacer uso de la seguridad de este plugin, lo cual considero que deberíais hacer todos, ya sea de este modo o manualmente.

Plugin más completo para varios Autores

Actualización 18-11-2015

Reporté este fallo aún existente en WordPress.org versión 4.3.1 a una de las primeras colaboradores de ‘AyudaWP’, Angeles Portillo, quien me puso sobre la pista de otro plugin del mismo tipo aunque más completo y con actualizaciones más recientes: Edit Author Slug.

De hecho, Fernando Tellado (quien lleva la web ‘AyudaWP’) publica el siguiente artículo al respecto: Cómo cambiar la URL de autor en WordPress.

↑ Volver al índice ↑

icono-tutorialGuía funcionamiento plugin: SF Author Url Control

Este es un plugin muy sencillo, cómodo e intuitivo, cuando sólo se trata de cambiar la URL de un Autor (mi caso).
Una vez instalado y activado, seguimos los siguientes pasos:

Paso 1. Página de Autor base

Ajustes > Enlaces permanentes > Opcional > Página de Autor base: eliges el nombre de la página recién creada que quieras que sea la del Autor de tus entradas. Y asegúrate de ‘Guardar cambios’.

Ajustes-Enlaces-Permanentes-Opcional-Pagina-Autor-Base_mini_
Ruta: Ajustes > Enlaces permanentes > Opcional > Página de Autor base

Paso 2. Slug URL del autor

Usuarios > Seleccionas cualquiera de los usuarios que redacten en tu web > Perfil: Gestión de la cuenta > Slug URL del autor. Aquí completas con el nombre que quieras que salga como Autor de tus entradas, se verá reflejado en el enlace URL. Recuerda ‘Actualizar perfil’, para ver el cambio.

Usuarios-Perfil-Gestion-Cuenta-Slug-URL-Autor_mini
Ruta: Usuarios > Selecciona el que consideres > Perfil: Gestión de la cuenta > Slug URL del autor

Es curioso que un fallo tan gordo, haya pasado desapercibido en las constantes actualizaciones de WordPress.org

↑ Volver al índice ↑

icono_video_YouTubeVideotutorial

Actualización 20-09-2016

  • WordPress: fallo seguridad en URL Author (solución) 
    Solución a un problema grave en WordPress que deja a la vista en la URL (enlace) del Author de las entradas, el nombre de login para acceder a WordPress.

↑ Volver al índice ↑

icono_opinionOpinión

Actualización 19-09-2016

Lo cierto es que es un tema preocupante, más teniendo en cuenta que ciertas personas expertas en WordPress dicen que no se incorpora esto de forma nativa en el CMS, porque se espera un código lo más limpio posible. Un poco extraña esta manera de pensar, cuando supone revelar el 50% de acceso a tu panel de administración de WordPress.

Pero aún veo a muchos expertos en WordPress que o no saben de estos plugins u optan directamente por hacer desaparecer el nombre del autor del post para evitar este problema, alegando: “si sólo es un autor el que escribe no hay necesidad de ponerlo”.

Hacer desaparecer el nombre es un poco drástico, cuando WordPress te ofrece de forma nativa cambiarlo por un alias, fácil de recordar o relacionado con tu marca personal. Sí, sí, aunque siga existiendo el peligro de ver el nombre original de login en la URL. Pero si fuera innecesario como dicen algunos gurus… ¿Por qué ofrecer un alias?

Y aún más relevante es¿Por qué WordPress te permite poner un alias para camuflar el nombre real de login pero después descubre éste en la URL? Debo haberme perdido algún capítulo de Érase una vez la… vida porque me parece una incoherencia total.

Y ya ni siquiera entro a valorar lo que me parece que haya profesionales de WordPress que no aceptan un proyecto web con este CMS por menos de 2.000€ (dos mil euros) y luego tienen este fallo. Es poco menos que sorprendente. En mi caso, me di cuenta de este detalle a los pocos meses de empezar con WordPress.

↑ Volver al índice ↑

icono_info_imagenesFuente imágenes

Ver apartado relacionado en mi Pinterest.