Por defecto, aunque no lo creas, al día de hoy WordPress facilita una URL que permite enumerar los usuarios y así obtener sus nombres, para luego intentar adivinar sus contraseñas mediante fuerza bruta.
Al ingresar tudominio.com/?author=1 (y vamos sumando de 1 a 1), se mostrará en pantalla todos los posts creados por ese usuario, junto con su nombre de usuario.
Para poder aplicar esta protección y prevenir que listen nuestros usuarios uno a uno, tenemos que agregar este código en el archivo .htaccess del directorio raíz de WordPress:
RewriteEngine On
RewriteCond %{REQUEST_URI} !^/wp-admin [NC]
RewriteCond %{QUERY_STRING} author=\d
RewriteRule (.*) $1? [L,R=301]
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.