Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Come scoprire i nomi di accesso (username) di qualsiasi sito WP


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

L’uso di WordPress come strumento per il proprio blog è certamente molto popolare (assieme a Joomla!): del resto le sue ultime versioni sono decisamente comode, rapide e sempre più sicure, per cui diventano un veicolo di diffusione delle informazioni e dei post che pubblichiamo pratico e sempre a portata di mano. Questo porta, di fatto, a commettere qualche leggerezza di troppo – come abbiamo visto anche all’interno di vecchi articoli del blog – e quella che vorrei fare presente oggi è che il nickname dell’utente principale, spesso addirittura dell’amministratore del sito, è sempre rilevabile in chiaro. L’URL è pubblico e si può trovare sia per tentativi, che seguendo i link del theme. Di fatto, è uno dei modi più immediati per ottenere l’accesso al blog e provare ad accedervi per tentativi (tentando varie password).


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Dopo aver installato il blog moltissimi, spesso anche esperti, tendono a lasciare le cose come sono per diversi mesi, esponendosi così a rischi per la sicurezza notevoli. Sui blog di questo tipo, infatti, i tentativi di accesso indebito brute-force sono innumerevoli: un plugin come WP Better Security può aiutarvi in tal senso, quantomeno, a rilevare questi tentativi ed a loggarli nel sistema, in modo che quantomeno sappiate quello che sta succedendo.

Come scoprire i nomi utenti e le email di un sito in WP qualsiasi

Anche senza avere le credenziali, WordPress espone le username  con vari dettagli all’interno sfruttando la RESTful API seguente:

wp-json/wp/v2/users

per cui se il sito in WP si chiama miosito.com, aprite da Chrome il seguente URL per vederli.

miosito.com/wp-json/wp/v2/users

La password fortunatamente non sarà presente in chiaro, ma le username in alcuni e in alcuni casi anche le email, esponendoci così a rischio di spam. Il rischio è contenuto nelle nuove versioni di WP, per fortuna, ma nelle vecchie installazioni era un problema abbastanza diffuso a quanto sembra. Il nickname o slug è di solito presente nella URL, anche se non è detto che sia usabile per il login. Il rischio informatico ad oggi di una cosa del genere è relativamente basso, rispetto ad altri attacchi più raffinati quantomeno.

Ti potrebbe interessare:  Come attivare gli aggiornamenti automatici di Wordpress

Un esempio dei dati exfiltrati è il seguente, tanto per rendersi conto.

Schermata 2022 09 25 alle 20.32.34

Attenzione: WordPress viene costantemente aggiornato per cui le informazioni qui presenti potrebbero non valere più ad oggi. Ovviamente è anche il caso di ricordare che violare un sito web è illegale in ogni caso. Le seguenti indicazioni sono solo a scopo preventivo e di sicurezza informatica per i webmaster. Siamo contrari a qualsiasi uso non lecito delle informazioni qui riprodotte, pubblicamente reperibili

Come usare su Google il footprint per le username di WordPress

La query di ricerca di Google – se preferite il footprint – che potete sfruttare in questi casi è la seguente:

site:nomesitowp.est inurl:author

che permette, in prima istanza, di mostrare tutte le pagine autore. Dal suffisso subito dopo /author/ sarà  possibile, quindi, trovare il nickname precisamente usato dall’autore (o dagli autori), quando invece sarebbe stato più prudente occultarlo o criptarlo anche perchè, in questo modo, un eventuale attacco bruteforce o basato su dizionario diventa decisamente più comodo per un attaccante.

In sostanza, quindi, ci sono delle informazioni pubbliche che un attaccante ha la possibilità  di sfruttare, tra cui l’URL di login (che su WP è standardizzato), il nickname (come spiegato poco fa) e poi un software per testare ciclicamente le password e tentare di accedere “a tentativi”. Per questo motivo è importante proteggere il proprio sito ed evitare, tanto per cominciare, di rendere pubblico che si stia usando WP.

Per evitare questo è possibile, in prima istanza, sfruttare la tecnica che riporto qui, brevemente tradotta, per comodità.

Cosa fare per proteggere il proprio blog da attacchi del genere

In primo luogo è bene rimuovere l’utente admin di default, ovvero creare dall’utente admin (se esiste) un nuovo amministratore con un nome di fantasia, sloggarsi, fare login con il nuovo amministratore e rimuovere il vecchio account. Ovviamente WordPress al momento della cancellazione ci chiederà  di attribuire i vecchi articoli dell’account al nuovo, e dovremo confermare questa cosa esplicitamente.

Fatto questo, la username può essere nascosta facendo login all’interno di cPanel, cliccando su PHPMyAdmin, andando ad aprire la tabella wp_users e modificando, semplicemente, il campo nicename che viene a trovarsi all’interno di essa: infatti il formato URL autore è di default http://www.sitowp.est/author/nicename, e questo vale per qualsiasi account WP.

Ti potrebbe interessare:  Software consigliati per le videochiamate e le videoconferenze

In questo processo, quindi, l’obiettivo è quello di differenziare il campo user_nicename da user_login (che poi è quello che si usa per accedere, nella realtà ): modificando questi valori su tutte le righe degli utenti la sicurezza di WP sarà  molto potenziata. Tenete conto, inoltre, che esiste anche il plugin SX User Name security che impedisce di mostrare involontariamente informazioni di questo genere all’interno degli eventuali box autore del vostro blog.

Da non perdere 👇👇👇



Trovalost.it esiste da 4435 giorni (12 anni), e contiene ad oggi 4019 articoli (circa 3.215.200 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
5/5 (1)

Ti sembra utile o interessante? Vota e fammelo sapere.


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.