Al momento de instalar WordPress, nos crea un usuario llamado «admin» con el que podemos controlar totalmente el blog. Si bien podemos cambiar nuestro nick de publicación, WordPress no permite de forma fácil cambiar el nombre de usuario de «admin». Esto supone un riesgo de seguridad, supongamos, alguien que quiere obtener acceso a tu blog mediante fuerza bruta solo debera obtener tu password ya que tu nombre de usuario ya lo sabe: admin…
Hay 2 formas de lograr esta: una es crear un nuevo usuario con poderes de administración, borrar la cuenta «admin» y controlar el blog desde la nueva cuenta, o bien, editar la base de datos de WordPress. Yo use la segunda opción y funciona, así que la explicare:
- Accede al panel de administración del hosting de tu blog. Esto variara dependiendo del servicio donde lo tengas alojado.
- Accedemos a phpMyAdmin, luego a la base de datos donde este instalado WordPress y finalmente buscamos la tabla «wp_users» (o «users», dependera del prefijo seleccionado al momento de instalar WordPress)
- Hacemos click en «explorar» (o «browser»). Ahi buscamos «admin» y hacemos click en «editar» (o «edit»)
- Veremos que dice «admin» en 2 partes: «user_login», «user_nicename» y posiblemente en «display_name». Reemplazamos «admin» por el nombre de usuario que deseamos utilizar (por ejemplo, «hola»). Recuerda usar el mismo en los 3 campos, y de no editar otro campo más que los mencionados.
Una vez terminada esta edición, guardamos y cerramos phpMyAdmin. Ahora volvemos a nuestro blog e intentaremos iniciar sesión. Si probamos con el usuario «admin», veremos que ya no funciona, pero si probamos con el nombre de usuario que le hemos puesto («hola»), accederemos automaticamente a nuestro blog.
Un truco algo extraño, pero que sin duda dejara dormir tranquilos a los más paranoicos.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación hace 3 años o más que no se actualiza. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te sirvió?, pues entonces nada :-)
Muy bueno. De los artículos más útiles que he leido en este blog.
@Josep eso fue ironia? =P
Yo al menos me conformo con crearme otro usuario con acceso de administrador, borrar el usuario admin y se acabo.
Buenisima informacion!
Me estaba volviendo loco tratando de encontrar la manera de cambiar el user para que no fuera admin. Esto me da la idea de comenzar a interiorizarme un poco mas en el tema del manejo de las bases de datos.
Saludos….
gran información. Muchas gracias.
No es por parecer troll, pero no me convence mucho esto. Si un hacker quiere tomar el control total el usuario lo consigue de otro modo y puede obtener el hash de la contraseña desde una cookie robada (vamos, que es mas que común en estos tiempos).
Una contraseña segura es mejor opción, entre mas caracteres y que tengan signos del tipo */-/= pues mejor.
Obvio que existen muchas otras opciones, pero dejarle las cosas fáciles a los malintencionado no tiene sentido, mucha gente por flojera o por que son nuevos iniciándose en el mundo web deja todo por defecto, y este tuto no es que los libre del mal pero por lo menos hace trabajar mas a los hackers :v /
No los hace trabajar más, me dijo uno en una ocasión. Siempre en donde haya un formulario donde tengas que poner user más password ya es vulnerable. Lo mejor es usar buenas password, que he visto muchos sitios hackeados donde no tenían admin, sino una pésima combinación.
Hombre, el tutorial es perfecto pero por supuesto hay otros métodos. Personalmente me ha encantado el truco, y todo lo que compliquemos la tarea a los hackers mejor
Yo no pude pasar del segundo paso, no encuentro dentro el PHPMyAdmin la tabla con los usuarios
@Jose Perez: Tal vez cambiaste el prefijo de las tablas. Busca cualquier tabla que diga "users" dentro de tu base de datos, ya que los más probable es que esa sea…
Ya vi que era, la BD estaba mal y la tabla no subio, gracias
Otra duda, desde aqui es posible cambiar la contraseña del administrador?
Saludos y gracias
@Jose Perez: Fernando nos muestra una forma desde aquí.
genial, porque la verdad es que hay unos hackers que no se si por diversion o que se la pasan tratando de vulnerar algunos sitios, mientras mas seguridad podamos colocar mucho mejor y la verdad que esto ayuda bastante, gracias por el truco
Pues yo, con la base de datos no me aclaro. Y por la via fácil, creo un nuevo administrador, pero no me deja eliminar "admin"…
Algún consejo???
Gracias por tu blog!
@Juan Carlos: si te tiene que dejar borrar el admin actual, pero antes tienes que asignar los posts al "otro" administrador. Primero crea el nuevo usuario con permisos de administrador, luego sal de tu cuenta admin actual, entra con la nueva, y borra la cuenta admin. Asignas los posts al nuevo usuario administrador y ya está.
Genial!
Muchas gracias Fernando!!!
No se que hariamos muchos como yo, sin algunos como tú!!!
Muy buena la info, por fin pude cambiar el usuario.
Gracias por la info, me ayudó mucho, y me funcionó.
La verdad gracias me sirvio de mucho y considero que ahora podre dormir mas tranquilo
yo hice esto pero no funciona, lo he intentado muchas veces, pero no me da resultado, hay alguna otra forma de hacer esto?
hola, muuchas gracias por el tuto, no sabia como cambiarlo y me sirvio de mucho.
Fabuloso!!!!
Gracias, gracias y mil gracias
Muy buena info! Cambié de dominio, y mi nombre de usuario era el mismo que el dominio, asique gracias a este dato pude cambiarlo!
Muchas Gracias por esta informacion, me ha sido de mucha utilidad, adelante y Exitos.
Gracias
lo necesita, mucha gracias, interesante
Gracias pòr el aporte: fácil, claro y sencillo!
Hola, la solución de cambiar el nombre del usuario "admin" en la base de datos me funcionó perfectamente.
Gracias.
Excelente artículo.
Nunca he sido un paranoico de la seguridad, hasta que en los últimos 3 meses he sufrido 3 ataques de "terroristas Tailandeses musulmanes" en la Web de la empresa.
Seguí el tutorial y te puedo asegurar que dormiré un poco más tranquilo.
Y recordar a TODOS tener a diario copia de seguridad de la Base de Datos, y semanal del FTP.
Magnífico tutorial, sencillo y efectivo.
Error establishing a database connection
This either means that the username and password information in your wp-config.php file is incorrect or we can’t contact the database server at mysql.main-hosting.com. This could mean your host’s database server is down.
Are you sure you have the correct username and password?
Are you sure that you have typed the correct hostname?
Are you sure that the database server is running?
If you’re unsure what these terms mean you should probably contact your host. If you still need help you can always visit the WordPress Support Forums.
ayuda please…
Funciona, pero al tener instalado un multisitio pierde las propiedades de red, que solucion tendria esto?
Para solucionar esto debes cambiar en el archivo site_meta donde dice site_admins… s:5;admin por s:10;superadmin (después de la s va la cantidad de letras que tiene el nuevo nombre de usuario, es este caso mi usuario «superadmin» tiene 10 letras
Perfecto !!! Gracias Pablo 🙂
Genial, gracias por la ayuda. Me han hackeado mi blog y también me habían cambiado el nombre y no era capaz de cambiarlo, hasta que he dado con vosotros. Muchas gracias por vuestra ayuda.
Gracias Fernando, vamos a cambiar esa opcion, pues parece que algunos amigos de lo ajeno esta haciendo de las suyas
Sencillamente Genial. Mil Gracias, me están intentando entrar diariamente usando admin…… Un abrazo
Muchas gracias! Pude cambiar el usuario aunque no era admin pero si muy fácil de adivinar (puesto por el proveedor de servicios de internet). A diario tengo ataques de fuerza bruta, ahora que se vuelvan chinos adivinando el usuario. Saludos y gracias de nuevo 🙂
No se si me equivoco, pero aunque le cambie el nombre de usuario sigo teniendo el ID=1, por lo que creo que a través de esa id podrian por fuerza bruta o inyección averiguar cual es el nombre de usuario y ade alli seguir escalando, o me equivoco??
En mi caso no era «admin» sino un nombre con caracteres raros bien jodido de recordar que me ha generado automáticamente el sistema de mi proveedor. Gracias a esto he podido solucionarlo. Muchas gracias.