Come scoprire i nickname di qualsiasi sito WP

Come scoprire i nickname di qualsiasi sito WP

L’utilizzo di wordpress come strumento per il proprio blog è certamente molto popolare (assieme a Joomla!): del resto le sue ultime versioni sono decisamente comode, rapide e sempre più sicure, per cui diventano un veicolo di diffusione delle informazioni e dei post che pubblichiamo pratico e sempre a portata di mano. Questo porta, di fatto, a commettere qualche leggerezza di troppo – come abbiamo visto anche all’interno di vecchi articoli del blog – e quella che vorrei fare presente oggi è che il nickname dell’utente principale, spesso addirittura dell’amministratore del sito, è (quasi) sempre rilevabile in chiaro.

Dopo aver installato il blog moltissimi, spesso anche esperti, tendono a lasciare le cose come sono per diversi mesi, esponendosi così a rischi per la sicurezza notevoli. Sui blog in wordpress, infatti, i tentativi di accesso indebito brute-force sono davvero innumerevoli: un plugin come WP Better Security può aiutarvi in tal senso, quantomeno, a rilevare questi tentativi ed a loggarli nel sistema, in modo che quantomeno sappiate quello che sta succedendo.

Schermata 2013-12-06 alle 10.04.45La query di ricerca di Google – se preferite il footprint – che potete sfruttare in questi casi è la seguente:

  • site:nomesitowp.est inurl:author

che permette, in prima istanza, di mostrare tutte le pagine autore. Dal suffisso subito dopo /author/ sarà possibile, quindi, trovare il nickname precisamente usato dall’autore (o dagli autori), quando invece sarebbe stato più prudente occultarlo o criptarlo anche perchè, in questo modo, un eventuale attacco bruteforce o basato su dizionario diventa decisamente più comodo per un attaccante.

In sostanza, quindi, ci sono delle informazioni pubbliche che un attaccante ha la possibilità di sfruttare, tra cui l’URL di login (che su WP è standardizzato), il nickname (come spiegato poco fa) e poi un software per testare ciclicamente le password e tentare di accedere “a tentativi”. Per questo motivo è importante proteggere il proprio sito ed evitare, tanto per cominciare, di rendere pubblico che si stia usando WP.

Per evitare questo è possibile, in prima istanza, sfruttare la tecnica descritta da authorsure che riporto qui, brevemente tradotta, per comodità. In primo luogo è bene rimuovere l’utente admin di default, ovvero creare dall’utente admin (se esiste) un nuovo amministratore con un nome di fantasia, sloggarsi, fare login con il nuovo amministratore e rimuovere il vecchio account. Ovviamente wordpress al momento della cancellazione ci chiederà di attribuire i vecchi articoli dell’account al nuovo, e dovremo confermare questa cosa esplicitamente. Fatto questo, la username può essere occultata facendo login all’interno di cPanel, cliccando su PHPMyAdmin, andando ad aprire la tabella wp_users e modificando, semplicemente, il campo nicename che viene a trovarsi all’interno di essa: infatti il formato URL autore è di default http://www.sitowp.est/author/nicename, e questo vale per qualsiasi account WP. In questo processo, quindi, l’obiettivo è quello di differenziare il campo user_nicename da user_login (che poi è quello che si usa per accedere, nella realtà): modificando questi valori su tutte le righe degli utenti la sicurezza di WP sarà molto potenziata. Tenete conto, inoltre, che esiste anche il plugin SX User Name security che impedisce di mostrare involontariamente informazioni di questo genere all’interno degli eventuali box autore del vostro blog.

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.