Seguridad en WordPress. Evita el reseteo de las contraseñas de usuarios.

Hemos visto un consejo fundamental para WordPress con respecto a la seguridad: Esconder la pantalla de Login.

Ahora vamos con el segundo que es si cabe, más sencillo y complementa a la acción de esconder la pantalla de Login.

WordPress al igual que otros muchos gestores de contenidos ofrecen la posibilidad de que un usuario pueda recuperar su contraseña de acceso si la pierde o se le olvida. En la pantalla del backoffice veremos siempre el enlace «¿Olvidaste tu contraseña?» o un mensaje similar. Esta opción tiene sentido si vas a utilizar WordPress como un entorno multiusuario donde cada usuario se puede registrar para algo más que simplemente recibir notificaciones de tus publicaciones. Sin embargo, en la mayoría de ocasiones, poder recuperar la contraseña de un usuario a través de este enlace no tiene ningún sentido y resulta contraproducente tenerlo ahí visible dado que es una puerta de entrada a hackers.

Deshabilita la restauración de contraseña con un plugin

El plugin que recomiendo en este caso es Plainview Protect Passwords.

Para poner en marcha este plugin, los pasos son muy sencillos:

Ir a Plugins -> Añadir nuevo
Buscar «Plainview Protect Passwords«
Descarga este plugin y actívalo.
Para configurar el plugin, vete a Ajustes -> Protect passwords
En la página de configuración del plugin selecciona para qué roles quieres deshabilitar la restauración de contraseña o para qué usuarios.

Deshabilita la restauración de contraseña manualmente

El método manual es extremadamente sencillo aunque menos versátil.
Partimos de la base de que sabes acceder por FTP a los ficheros de tu Web. En otro publicación mostraremos cómo acceder a los ficheros de la Web.

Acceder por FTP a tu Web y navega hasta: wp-content>>themes>>nombre de la carpeta del tema que estás usando.
En dicha carpeta, haz una copia del fichero functions.php y renómbralo a original_functions.php o el nombre que prefieras.
Descarga el fichero functions.php y edítalo con notepad++
Vete hasta el final del fichero y añade las siguientes líneas:

function disable_password_reset() { return false; }
add_filter ( 'allow_password_reset', 'disable_password_reset' );

Sube el fichero que acabas de modificar functions.php de nuevo a la misma ubicación en el FTP.
A partir de este momento, cualquier usuario que intente utilizar la opción de recuperación de contraseña, se encontrará con un mensaje de error indicando que «password reset» está deshabilitado.

¿Tienes alguna duda sobre estos métodos o crees que hay procedimientos mejores? No dudes en dejar tu opinión en los comentarios.

Por Angel Canales|2018-11-04T21:57:24+02:0022 de octubre, 2018|Categorías: Tips desarrollo Web, Internet|Comentarios desactivados

Sobre el autor: Angel Canales

Programador informático, consultor y administrador de novored.com Especializado en consultoría tecnológica. Tiene especial interés en las nuevas tecnologías y las soluciones y comunidad opensource, las cuales intenta promocionar e incentivar a través de novored.com. Entre sus preocupaciones está el grado de penetración y comprensión de las nuevas tecnologías en España.