La enumeración de usuarios es una técnica utilizada por atacantes para identificar nombres de usuario en sitios WordPress. Una vez descubiertos, pueden usar ataques de fuerza bruta u otros métodos para comprometer cuentas. Aquí te explicamos cómo proteger tu sitio de esta vulnerabilidad.

1. Limitar el acceso a información sensible

  • Desactiva la posibilidad de ver detalles de usuarios mediante URLs como ?author=1.
    Añade el siguiente código a tu archivo functions.php:

    add_action('template_redirect', function() {
    if (is_author()) {
    wp_redirect(home_url());
    exit;
    }
    });

2. Usa plugins de seguridad

Instala plugins como Wordfence o All In One WP Security para monitorear y bloquear actividades sospechosas. Estos plugins pueden detectar y prevenir intentos de enumeración de usuarios.

3. Bloquea la enumeración de usuarios desde .htaccess

Para servidores Apache, utiliza este código en el archivo .htaccess para bloquear solicitudes que busquen nombres de usuario:

RewriteCond %{QUERY_STRING} ^.*(author=\d+).*$
RewriteRule ^(.*)$ /? [L,R=301]

4. Implementa políticas de contraseñas seguras

Asegúrate de que los usuarios usen contraseñas seguras y habilita la autenticación en dos pasos (2FA) para añadir una capa extra de seguridad.

5. Monitorea los registros de actividad

Revisa regularmente los registros de tu sitio en busca de actividades inusuales o intentos repetidos de acceder a información de usuarios.

6. Mantén WordPress actualizado

Usa siempre la última versión de WordPress, plugins y temas para garantizar que las vulnerabilidades conocidas estén corregidas.

Siguiendo estos pasos, puedes reducir considerablemente el riesgo de enumeración de usuarios y mantener tu sitio WordPress seguro.