Quiero hablarte de Seguridad en WordPress, y principalmente de como puedes restear en una sola acción todas las contraseñas de usuarios de un sitio WordPress que haya podido ser vulnerado o como medida preventiva.
Mucha razón tienen los responsables en seguridad informática cuando dicen eso de "el usuario es el eslabón más débil de la seguridad de una empresa", pues gran parte de los problemas de seguridad que se generan en una empresa o un sitio web, sea corporativo, colaborativo o personal, son provocados por mala praxis de usuarios finales.
El uso de contraseñas inseguras, de plugins o temas desactualizados o vulnerables, de dudosa procedencia, y un largo etcétera, forman parte del enorme listado de fallos que afectan a la seguridad de un sitio web WordPress.
Un caso muy común suelen ser los accesos a sitios WordPress con credenciales sustraídas de usuarios legítimos. ¿Cómo obtienen esos datos de acceso usuarios malintencionados? ¡fácil!
Se obtienen de usuarios bienintencionados (demasiado confiados o incautos) que se conectan a WordPress desde wifis públicas, cibercafés (locutorios) o redes inseguras (sin protección o con débil protección, WEP por ejemplo) y que mediante herramientas, como Wireshark y muchas otras, obtienen estas credenciales de acceso de WordPress en texto plano en pocos minutos.
Por ejemplo, cuando un sitio web es atacado por usuarios malintencionados, es necesario restablecer todas las contraseñas por razones de seguridad. Esto puede llevar mucho tiempo si tú, como administrador, tienes que hacerlo manualmente o contactar con cada usuario registrado, colaborador o redactor para que lo haga.
El plugin para resetear TODAS las contraseñas
Con el plugin Bulk Password Reset podrás restablecer todas las contraseñas de usuarios en tu instalación de WordPress de forma automática e inmediata y luego hacer que el propio plugin envíe la nueva contraseña por correo electrónico a los usuarios de la web.
Características del plugin:
- Restablece TODAS las contraseñas de los usuarios registrados.
- Permite enviar un correo a todos los usuarios para restablecer la contraseña.
- Se puede añadir un mensaje adicional al mensaje de correo electrónico.
- Se puede enviar un correo para que cambien la contraseña o cambiarla sistemáticamente.
- Permite escoger qué grupo de usuarios será el afectado por el cambio de contraseña.
Configuraciones destacadas
Claro que el plugin no tiene ciencia alguna, pero muchos usuarios necesitan visualizar las cosas para interpretarlas ¿será por aquello de que escaneamos los contenidos en lugar de leerlos?, yo el primero :P
Mi queridisima Mary Mar dice "me gustan más tus artículos cuando llevan capturas, son más divertidos" y yo 'mondo y lirondo' no voy a obviar esta petición y trato de hacerla extensiva a todos los que como yo adoran las capturas.
El plugin se configura básicamente en 2 bloques:
- Bulk Password Reset Settings (Ajustes de Bulk para Restablecer Contraseña)
- Avanzado
El primer bloque básicamente te permite establecer que roles de usuarios se verán afectados por este cambio masivo de contraseña de acceso. Un CTA (call to action) para hacer el reseteo de contraseñas "ipso facto" ¡YA! y un box para que veas la configuración avanzada (personalmente pienso que se lo podía haber ahorrado el autor, jeje).
En Avanzado vas a encontrar opciones que puedes personalizar y guardar para que sean las que por defecto ejecute el plugin.
Te recomiendo que tengas activada la Notificación por email, y solo la opción Pedir contraseña si en lugar de ser tú quien la resetee por derecho, que sean los usuarios los que la cambien estableciendo otra de su interés.
En el bloque segundo, si estableces opciones y haces clic en el botón Guardar configuraciones y restablecer las contraseñas no ejecuta el cambio masivo de contraseñas a menos que en Bulk Password Reset Settings tengas habilitada la opción Resetear Contraseñas Masivamente, así que guarda tranquilo los cambios que no va a explotar nada :P
Al final, el objetivo de este plugin no es otro sino taponar la hemorragia en caso de fuga de información, causada por algún usuario con credenciales de acceso al dashboard que pueda comprometer la seguridad del sitio, sobre todo si tienes constancia de que puede haber tenido comprometidos sus datos de acceso.
¡Prevenir es curar!, pero por si acaso haz siempre una copia de seguridad, si es diaria y a DropBox mucho mejor.