Uno de mis clientes ha estado recibiendo correos electrónicos como este todos los días durante las últimas dos semanas, donde alguien intenta restablecer la contraseña de un usuario de WordPress. Es decir, alguien finge ser el usuario administrador y luego usa la función "Olvidé mi contraseña" del inicio de sesión de WordPress para activar este correo.
Literalmente se ve así:
Asunto: [nombre del sitio de WordPress] restablecer contraseña
Alguien ha solicitado un restablecimiento de contraseña para la siguiente cuenta de usuario:
Nombre del sitio: XYZ
Nombre de usuario: horst (o cualquiera que sea el nombre de usuario)
Si eso no fue intencionado, simplemente ignore este correo electrónico. Entonces no pasará nada.
Para restablecer su contraseña, visite la siguiente dirección:
(aquí sigue la URL para activar el restablecimiento de contraseña)
Capítulos de esta publicación:
Simplemente molesto, pero no un riesgo de seguridad
La buena noticia es que las muchas solicitudes de "contraseña olvidada" que recibe son solo una de las cosas que le molestan. En principio, sin embargo, todavía se brinda seguridad, porque el "atacante" no puede hacer mucho si no tiene acceso a los correos electrónicos, porque sin los correos electrónicos no puede activar un restablecimiento de contraseña y no puede cambiar una contraseña.
A pesar de todo, tenía el complemento "Login LockDown“ instalado, que evita los ataques de fuerza bruta en el inicio de sesión del administrador y prohíbe las direcciones IP si utilizan la contraseña incorrecta para el inicio de sesión varias veces.
Sin embargo, las molestas solicitudes de cambio de contraseña no terminaron ahí y el cliente continuó siendo bombardeado con correos electrónicos.
El plan: desactivar la función de contraseña olvidada
Eventualmente, la solución debería ser que deshabilite completamente la función "Olvidé mi contraseña", porque en realidad no la necesitamos. Tanto mi cliente como yo llevamos años usando el mismo inicio de sesión y tampoco lo hemos olvidado.
Para evitar los correos, la función de restablecimiento de contraseña simplemente tendría que desactivarse.
Las soluciones que usan functions.php no funcionan
En busca de soluciones, quería arreglármelas sin un complemento adicional y encontrar un script PHP que pudiera poner en functions.php del tema. También hubo algunos scripts gratuitos que parecían cortos y agradables, pero, aunque son de principios de 2020, funcionan con la versión actual de WordPress 5.5. no más.
Complemento de protección de contraseñas de Plainview
Finalmente, terminé con el complemento a través de una de las muchas guías "Plainview proteger contraseñas“ Lo noté y lo instalé. No desactiva completamente la función de contraseña olvidada, pero puede desactivar un cambio de contraseña para ciertos (o todos) usuarios y, por lo tanto, también evitar que se envíen correos electrónicos de restablecimiento de contraseña.
Si llama a la página del complemento en el repositorio de WordPress, recibe el siguiente mensaje de advertencia:
Este complemento no ha sido probado con las últimas 3 versiones principales de WordPress. Es posible que ya no se mantenga o soporte y que tenga problemas de compatibilidad cuando se usa con versiones más recientes de WordPress.
Sin embargo, la advertencia de que el complemento no ha sido probado con las últimas tres versiones principales de WordPress es infundada. Funciona bien para mí en WordPress 5.5.
Configurar el complemento Proteger contraseñas
Para hacer esto, instale el complemento y luego vaya a Configuración> Proteger contraseñas y vaya al área de administración del complemento.
En el segundo campo "Usuarios protegidos", ahora seleccione todos los usuarios mientras mantiene presionada la tecla CMD o CTRL y vaya a "Guardar configuración" en la parte inferior. Ahora las contraseñas de todos los usuarios ya no se pueden cambiar usando la función de contraseña olvidada.
Todavía puede abrir el formulario e ingresar una dirección de correo electrónico o un nombre de usuario, pero luego recibe el siguiente mensaje de error:
Este usuario no puede restablecer la contraseña.
Eso finalmente puso fin a los molestos correos electrónicos y mi cliente (y yo) pudimos concentrarnos nuevamente en nuestro trabajo.
Si también tiene un buen truco para WordPress o está luchando con un pequeño problema, hágamelo saber a través de la función de comentarios.
Contribuciones parecidas
Con Lynne, una artista gráfica y diseñadora se ha unido al equipo que contribuye con artículos sobre los temas de páginas de inicio, desarrollo web y Photoshop. YouTube se ha convertido recientemente en una de sus áreas de actividad. Lynne es (involuntariamente) muy buena generando mensajes de error, asegurando un flujo constante de artículos de resolución de problemas que hacen que el blog de Sir Apfelot sea un destino popular para los usuarios de Mac una y otra vez.