Como ocultar os usuários do Wordpress

Permitir que pessoas listem os usuários do seu Wordpress é uma falha de segurança grave, pois ajuda um possível invasor a investir em um ataque para pegar a senha administrador do seu site.

Portanto, vou mostrar como ocultar os autores/usuários do seu Wordpress.

Essa técnica é para quem usa servidor apache, visto que utiliza o arquivo .htaccess em conjunto com o módulo Rewrite (mod_rewrite).

Ocultando os usuários

Para ocultar os usuários do Wordpress, abra o arquivo .htaccess e cole o código que se encontra logo abaixo.

# BEGIN GZASEC
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]
</IfModule>
# END GZASEC

# BEGIN GZASEC2
<IfModule mod_rewrite.c>
RedirectMatch /author/(.*) /
RedirectMatch /author$ /
</IfModule>
# END GZASEC2

O arquivo .htaccess está na raíz do seu site. Caso não exista, basta criá-lo.

Ataques evitados

O Primeiro evita que seus autores/usuários sejam descobertos através da técnica chamada User Enumeration.

Essa técnica é simples, basta por na barra de endereço: http://seusite.com.br/?author=1 e teclar ENTER que o Wordpress vai retorna a página do autor/usuário.

O segundo, evita que os autores/usuários sejam descobertos pelo seu nome de usuário.

Esse ataque poderia ser feito com o auxílio de uma wordlist (lista de palavras).

Um exemplo simples seria por o nome do site na barra de endereço: http://seusite.com.br/author/seusite.

Ou até mesmo:

http://seusite.com.br/author/admin

http://seusite.com.br/author/administrador

Sem o segundo código, o wordpress exibiria os posts relacionados ao autor/usuário em questão se o mesmo existisse.

Lembrando que o módulo Rewrite deve estar devidamente instalado em seu servidor.

Em um próximo post irei mostrar como instalar e habilitar o mod_rewrite em seu servidor apache.

Espero que tenham gostado.

Abraços.