WP Author Security es un plugin ligero, pero potente, para proteger frente a ataques de enumeración de usuarios en las páginas de los autores y otros lugares donde se pueden obtener los nombres de usuario válidos.
Por defecto, WordPress mostrará alguna información sensible en las páginas de los autores.
La página del autor típicamente es llamada solicitando la URI https://tu-dominio.tld/?author=<id> o con los enlaces permanentes https://tu-dominio.tld/author/<username>.
La página incluirá (dependiendo de tu tema) el nombre completo (nombre y apellidos), así como el nombre de usuario del autor, que es usado para acceder a WordPress.
En algunos casos, no se quiere exponer esta información al público. Un atacante es capaz de forzar por fuerza bruta los ID o nombres de usuario válidos. Esta información puede ser usada para otros ataques, como los ataques de ingeniería social o los ataques de acceso por fuerza bruta con los nombres de usuario obtenidos. Sin embargo, cuando se usa el plugin y desactivas completamente las páginas de los autores, debes tener en cuenta que hay tienes que tener cuidado de que tu tema activo no muestre el propio nombre del autor en las entradas, como «Publicada por el Administrador» o algo como eso. Esto es algo que el plugin no gestionará (por el momento).
Al usar la extensión, puedes desactivar completamente las páginas de los autores o mostrarlas solo cuando el autor tiene, al menos, una entrada publicada. Cuando la página está desactivada, se muestra la página de error 404 por defecto del tema activo.
Además, el plugin también protegerá otras ubicaciones que son comúnmente usadas por los atacantes para obtener nombres de usuario válidos. Estas son:
- La API REST para los usuarios que listará por defecto todos los usuarios con entradas publicadas. https://tu-dominio.tld/wp-json/wp/v2/users
- La página de acceso, donde diferentes mensajes de error indicarán si existe o no el nombre de usuario o la dirección de correo electrónico introducidos. El plugin mostrará un mensaje de error neutro, independientemente de si el usuario existe o no.
- La función para la contraseña olvidada también permitirá a un atacante comprobar la existencia de un usuario. En cuanto a la página de acceso, el plugin mostrará un mensaje neutro, incluso cuando el usuario no exista.
- Requesting the feed endpoint /feed of your blog will also allow others to see the username or display name of the author. The plugin will remove the name from the result list.
- WordPress supports so-called oEmbeds. This is a technique to embed a reference to a post into another post. However, this reference will also contain the author name and a direct link to the profile page. The plugin will also remove the name and link here.
- Since WordPress 5.5 a default sitemap can be reached via /wp-sitemap.xml. This sitemap will disclose the usernames of all authors. If this should not be disclosed you are able to disable this feature of WordPress.