Traducción del post de ataques de enumeración de usuarios de Really Simple SSL

Los ataques de enumeración de usuarios son técnicas con el propósito de encontrar credenciales de inicio de sesión válidas, como nombres de usuario. Aunque no es directamente una vulnerabilidad, los nombres de usuario estándar o fáciles de detectar automáticamente facilitan que los atacantes lancen ataques de autenticación de fuerza bruta. Los expertos en seguridad comúnmente se refieren a ocultar nombres de usuario como «Seguridad por oscuridad», lo que tiene una connotación negativa. Sin embargo, creemos que cualquier medida de seguridad que no interfiera con la funcionalidad de su sitio mientras frustra al menos algunos ataques automatizados contribuye a la seguridad y debe ser considerada.

De forma predeterminada, WordPress es vulnerable a los intentos de enumeración de usuarios. Combinado con malas prácticas de contraseñas, la enumeración de usuarios hará que sea mucho más probable que un ataque de autenticación de fuerza bruta tenga éxito. Es por esto que debemos procurar resolver eso y permitir implementar las siguientes medidas de seguridad para hacer mucho más difícil la enumeración de usuarios:

• Impedir el uso del nombre de usuario ‘admin’
• Impedir que el nombre para mostrar público sea igual al nombre de usuario.
• Prevención de comentarios de inicio de sesión
• Páginas de autor

A continuación, enumeraremos algunas técnicas conocidas de enumeración de usuarios que Really Simple SSL ayuda a prevenir.

Impedir el uso del nombre de usuario ‘admin’

Esta configuración evitará el uso de ‘admin’ como nombre de usuario. De forma predeterminada, WordPress creará un usuario ‘admin’ en la instalación. Cuando habilite esta configuración en Really Simple SSL, buscaremos un usuario ‘administrador’ y cambiaremos el nombre de usuario. Adicionalmente, se impedirá la creación de un nuevo usuario con el nombre ‘admin’.

Impedir que el nombre para mostrar público sea igual al nombre de usuario

Esta configuración evitará la creación de usuarios con un nombre de usuario que sea igual al nombre para mostrar. Debido a que los nombres para mostrar se encuentran fácilmente en su sitio web, tener usuarios con un nombre de usuario coincidente aumenta el riesgo de un ataque de enumeración de usuarios.

Evitar comentarios de inicio de sesión

De forma predeterminada, WordPress proporcionará comentarios si se ingresa un nombre de usuario que no existe o si existe el nombre de usuario, pero no la contraseña. Estos comentarios harán que sea mucho más fácil confirmar nombres de usuario y adivinar contraseñas. Really Simple SSL le permitirá desactivar este comentario textual. Sin embargo, tenga en cuenta que incluso si los avisos de «contraseña incorrecta» están desactivados, los piratas informáticos podrían determinar si existe un nombre de usuario determinado para el sitio web de WordPress, en función del tiempo de respuesta que tarda el sitio en verificar la contraseña de un usuario existente. en comparación con un usuario que no lo hace.

Páginas de autor

WordPress creará páginas de autor para cada usuario. La URL de esta página contiene el nombre de usuario. Sin embargo, usar esto requerirá probar direcciones URL aleatoriamente con nombres de usuario, lo que dará como resultado muchos errores 404 que en sí mismos pueden detectarse y bloquearse. Una manera muy fácil de enumerar autores es utilizar las páginas de identificación de autor. (yoursite.com)/?author=(ID). Esto redirigirá al visitante al nombre del autor correspondiente. Really Simple SSL bloqueará las solicitudes a la URL de ID de autor cuando se habilite la desactivación de la enumeración de usuarios.