NO uses el usuario administrador para escribir en tu WordPress

¡Suscríbete a nuestra newsletter y recibe nuestras ofertas, novedades y descuentos directamente en tu email!

Uno de los consejos de seguridad básica que más repetimos es este: No escribas con el usuario administrador de tu WordPress.

¿Por qué no puedo usar el usuario administrador para escribir?

Diariamente millones y millones de sitios son atacados por bots (programas creados para ejecutar acciones automáticamente) que, en este caso, intentan entrar y hackear un sitio web.

Si utilizas el usuario administrador para publicar entradas, páginas o responder comentarios en tu blog, estarás proporcionando tanto a estos bots como a cualquier persona el 50% de los datos de acceso a tu sitio: el usuario.

De esa forma, solo será cuestión de tiempo (la mitad, ya que hemos facilitado la primera parte) que alguien logre acceder a nuestro sitio y a su panel de administración.

¿Cuál es la diferencia entre escribir con un usuario Administrador y otro que no lo es?

Como acabo de comentar, el usuario es un dato sencillo de conseguir. Basta con hacer cualquier tipo de publicación y ya lo habríamos expuesto (con la configuración base, ya que hay métodos de ocultar el nombre de usuario en, por ejemplo, la url, pero son algo más complejos).

Por ello, escribir con un rol de usuario con menos permisos, como por ejemplo el Editor, nos garantiza qué no va a poder hacer la persona o robot que entre en nuestro sitio.

A lo que me refiero con ésto es que si te hackean el usuario Administrador, estás concediendo todos los permisos de administración existentes en tu instalación de WordPress, pero si te hackeasen un usuario Editor, solo podrían realizar aquellas tareas relacionadas con la publicación y edición de entradas.

Lo maravilloso y recomendable sería contar con 3 usuarios:

• Un Administrador, el usuario con más permisos de toda la instalación.
• Un Editor, que tiene acceso a todo lo relacionado con la publicación de entradas.
• Un Suscriptor, el usuario más básico de WordPress, que únicamente puede modificar su propio perfil y publicar comentarios.

Una vez creados esos 3 usuarios el modus operandi sería el siguiente:

• Con el usuario Administrador: Utilizaríamos este usuario únicamente cuando necesitemos realizar labores de mantenimiento, actualización o configuración del sitio web.
• Con el Editor: Sería el usuario con el que accedemos regularmente, para gestionar comentarios y entradas de forma sencilla y sin depender de un rango superior.
• Por último, con el Suscriptor: Usuario «dummy», que no usaríamos para acceder al sitio web, si no que sería el usuario al que le asignamos las entradas que hemos escrito con el editor.

De esa forma, aunque utilizasen el nombre de usuario de tu suscriptor y consiguieran acceder a la instalación, no podrían modificar información importante.

Otras medidas de seguridad referentes a los usuarios a tener en cuenta

Otro ajuste importante, del que ya hemos hablado en el blog, es cambiar el ID de usuario de cada uno de nuestros usuarios (sobre todo de los administradores).

Cuando configuramos un WordPress, en la instalación siempre nos pedirá crearnos un usuario que será administrador y tendrá el ID número 1. Es un dato algo peligroso, ¿no? Pues pónselo más difícil a los malos y echa un vistazo a «cambiar el ID de usuario en WordPress» 🙂

Y eso sería todo. Y tú, ¿escribías en tu blog con el usuario editor? ¡Cuéntanoslo en los comentarios!