Este tutorial discute a importância da segurança do WordPress e o perigo imediato em torno da prática de usar a conta de usuário ‘admin’. Escrevemos um tutorial descrevendo como alterar o nome de usuário de administrador padrão no WordPress. Se você estiver familiarizado com os perigos mencionados acima, sugiro que pule para a parte do tutorial. Outros podem continuar lendo.
A segurança do WordPress não é uma coisa trivial. Na verdade, dado o grande número de ataques diretos de força bruta nos milhões de sites desenvolvidos pelo WordPress, pode-se pensar que os webmasters dedicam 30-50% de sua atenção à segurança do site. Surpreendentemente, esse não é o caso. A verdade é que a segurança do WordPress se encontra bem na parte inferior (se estiver presente), na lista de tarefas de um site. É um dos fatores mais prejudicados na lista de preocupações de um webmaster iniciante. Na maioria dos casos, uma das duas coisas acontece:
- O webmaster avalia que o site não é importante e, portanto, não é um alvo em potencial para hackers
- Ele simplesmente esquece o aspecto de segurança
Seja qual for a situação, você estará em um engarrafamento real quando seu site for invadido. Acreditamos firmemente que é melhor prevenir do que remediar – é por isso que estamos usando o Managed WordPress Hosting da WPEngine. É sólido e vem com segurança à prova de balas. Nosso site ainda não foi hackeado. Vá em frente, nós te desafiamos! No esforço de continuar nosso ritual de “prevenir ao invés de curar”, vamos falar sobre a conta de administrador (ou administrador) do WordPress e aprender como tapar essa brecha de segurança de uma vez por todas.
O que é a conta de administrador do WordPress?
Mais conhecida como conta de administrador, é o nome de conta padrão que vem em cada nova instalação do WordPress. Sua função de usuário é Administrador, o que significa que possui o maior poder de acesso em todos os sites WordPress. Ele pode injetar código malicioso, roubar dados confidenciais e, na pior das hipóteses, excluir seu site completamente. Em poucas palavras, usar admin como nome de usuário para uma conta com privilégios administrativos (ou seja, a função de usuário administrador) é uma enorme brecha de segurança.
Por quê? Que bom que você quer saber. Quando um hacker quer ter acesso ao seu site WordPress, ele precisa decifrar 2 elementos:
- Nome de usuário do WordPress
- Senha correspondente
Quando a maioria dos sites WordPress está executando “admin” como seu nome de usuário, o hacker tem 50% de seu trabalho cortado para ele. Ele poderia simplesmente iniciar o ataque de força bruta (que nada mais é do que tentar todas as combinações de caracteres possíveis como a senha) e sentar e saborear seu café, enquanto a grade do computador (maciça) tritura milhares de caracteres por segundo e desestabiliza seu servidor.
Agora você quer se enquadrar nessa categoria? Eu estou supondo bastante certo que você não é. Portanto, nunca vamos usar admin como nome de usuário em qualquer instalação do WordPress no futuro. Mas e as pessoas que já têm sua conta WordPress com admin como nome de usuário?
Os nomes de usuário não podem ser alterados. Isso é o que sabemos (até agora). Então, o que pode ser feito? Bem, para começar, você pode usar uma senha super forte. Uma variedade de símbolos alfanuméricos, mistos e especiais em sua senha com um comprimento de cerca de 35 caracteres deve demorar um pouco para ser decifrado. No entanto, se você deseja tratar o hack boy com o curso completo (ou seja, ele deve interpretar tanto o nome de usuário quanto a senha), então você deve alterar o nome de usuário do administrador completamente.
Excluir ou alterar o nome de usuário do administrador
A opção 1 é criar uma conta de administrador totalmente nova com um nome exclusivo e uma senha forte, fazer login novamente na instalação do WordPress com a nova conta de administrador e excluir sua conta antiga. Você deve ser solicitado a reatribuir todas as suas postagens antigas a outro usuário (por exemplo, sua nova conta de administrador). A opção 2 é alterar sua conta de administrador atual usando o phpMyAdmin. Acompanhe o tutorial abaixo para ver como.
Obtenha acesso ao phpMyAdmin
phpMyAdmin é um software GUI baseado na web que lhe dá acesso interativo ao banco de dados do seu servidor. Alguns podem chamá-lo de editor front-end para seu banco de dados. A maioria dos provedores de hospedagem compartilhada dá acesso ao phpMyAdmin e está disponível no cPanel. Depois de obter acesso, selecione seu banco de dados WordPress. No nosso caso é wpe-tut.
O phpMyAdmin listará todas as tabelas desse banco de dados. As tabelas mostradas na captura de tela a seguir são as padrão em uma instalação do WordPress. Queremos selecionar wp_users , pois contém o valor que queremos editar.
Selecionando o nome de usuário correto
Agora você deve ver uma captura de tela como esta. Vamos estudá-lo com atenção.
- ID: Esta é a variável de escrituração. Ele é usado para identificar sequencialmente todos os usuários que se registraram em uma instalação do WordPress. Como admin é o primeiro usuário a ser registrado, seu ID é 1. Neste tutorial, não usamos outros usuários.
- user_login é a variável que armazena o nome de usuário real do usuário.
- user_pass contém a senha correspondente, criptografada em MD5.
- user_nicename é o nome completo do usuário
- user_email é a variável que armazena o endereço de e-mail desse usuário
- display_name é como o nome de usuário é exibido em postagens e páginas. Por exemplo, as postagens de alguns usuários são mostradas como “Equipe editorial” em vez de “Joe Smith”
- Os outros campos presentes não são importantes para este tutorial.
Queremos alterar o campo user_login . Opcionalmente, podemos alterar user_nicename e display_name. Para fazer isso, selecionamos a opção Editar .
O phpMyAdmin nos levará aos campos individuais para a entrada de administrador em wp_users.
Agora alteramos os valores para os adequados. Mudei o meu para Sourav e seus derivados.
Depois de concluído, clique em Ir para confirmar as alterações. Você deve receber uma mensagem como esta:
Agora, quando você verificar a entrada wp_users , o nome de usuário do administrador não estará mais presente. Você encontrará o valor para o qual definiu user_login como o novo nome de usuário. Isso completa a fase de trabalho do nosso tutorial. Vamos testá-lo. Entramos no WordPress usando o novo nome de usuário e a senha antiga.
E booyah, funciona!
O WordPress reconhece claramente o novo nome de usuário. Todos os dados anteriores foram deixados desimpedidos. Lembre-se, se você usar um plug-in de cache, deverá limpar todo o cache, se tiver muitas postagens enviadas com o nome de usuário do administrador. Também podemos verificar nosso perfil de usuário encontrado em Configurações. Isto é o que devemos obter:
Conclusão
Alterar a conta de administrador padrão do WordPress para outra coisa fortalece a segurança do seu site WordPress. É considerada uma das melhores práticas de segurança para todos os webmasters e/ou desenvolvedores do WordPress. Se você estiver usando o nome de usuário do administrador , é hora de alterá-lo.
Este tutorial é 100% WordPress intensivo. Expliquei os atributos da tabela do banco de dados do WordPress junto com seus respectivos propósitos. Basta seguir as capturas de tela e você está pronto para ir. Se você ficar preso, o formulário de comentários é todo seu. Você também pode me pingar no Twitter. Para você – você conhece outra maneira de alterar o nome de usuário do administrador do WordPress? Tem uma dica de segurança super legal? Deixe-nos saber!