Cómo solucionar el fallo de seguridad de la clase «comment-author»

No sé si te habrás dado cuenta pero cuando comentas en tu web WordPress te asigna una clase distinta a tus comentarios, mostrando en la misma tu nombre de usuario con el que accedes a la administración.

De este modo, solo con inspeccionar el código fuente de cualquier página con comentarios de un administrador, verás que cuando comenta un administrador, a sus comentarios WordPress les asigna automáticamente la clase comment-author-nombredeladmin.

Así, si tu usuario para acceder es admin, la clase se llamará comment-author-admin, y si tu usuario es pepe la clase se llamará comment-author-pepe.

Cualquier hacker estará encantado de que le hayas regalado el 50% de lo que necesita para acceder a tu web con tus credenciales.

Pues bien, si quieres eliminar esta clase tan chivata, que compromete la seguridad de tu WordPress, solo tienes que añadir la siguiente función al archivo functions.php del tema activo o a tu plugin personalizado:

//Quitar clase que revela usuario admin
function remove_comment_author_class( $classes ) {
	foreach( $classes as $key => $class ) {
		if(strstr($class, "comment-author-")) {
			unset( $classes[$key] );
		}
	}
	return $classes;
}
add_filter( 'comment_class' , 'remove_comment_author_class' );

 

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(4 votos, promedio: 5)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

8 comentarios en “Cómo solucionar el fallo de seguridad de la clase «comment-author»”

  1. Muchas gracias, muy interesante. Pero entiendo que la seguridad la basan en la contraseña, en ese sentido el nombre de usuario no es el 50% de la seguridad y, de ser así, entonces la contraseña es una porquería.

    1. La seguridad en un acceso consta de 2 cadenas de texto a descifrar: usuario y contraseña.

      La complejidad de esos campos depende de la decisión del usuario que los crea, y hay tantas contraseñas de risa como nombres de usuario

      1. Cierto, consta de 2 cadenas, solo que una de ellas es accesible. Ignoro si lo consideran un fallo de seguridad o tienen sus razones. Es por eso que lo planteo en esos términos.

  2. Yo para eso uso un Plugin con el que puedes renombrar el alias del login de cada usuario y así evitas eso. Si lanzas un análisis de seguridad de WPScan ya no te sale la vulnerabilidad. Un saludo.

  3. Hola Fernando¡
    Gracias por el post y por el contenido que generas, de tanto valor para los que como yo somos neófitos en éste mundo.
    Te escribo en relación con el tema de la seguridad; aunque no exactamente con éste post.

    Quería darte la idea de que comentes para todos qué hacer con los avisos que la nueva actualización de wordpress genera en la pantalla de «Estado de salud del sitio». Por ejemplo yo veo uno de «error crítico» y otros de «mejoras recomendadas» sobre los que no sé exactamente si debo hacer algo o no. Siento que no veo la manera de enviarte un pantallazo.

    Te lo sugiero por si lo consideras oportuno, y cómo seguro que hay mucha gente con mis dudas, imagino que sería un post bienvenido.

    Un saludo y gracias por iluminarme/iluminarnos.

    1. Antonio Ortiz

      Buenos días:

      Me sumo a esta propuesta. Yo intento resolver las sugerencias que aparecen, imagino que para eso aparecerán, pero con una de ellas ando que no se como seguir REST API falló… He descubierto que el error lo provoca un plugin, pero no se como resolverlo o si es importante. Aunque «creo» que la api no se utiliza en esta web.

      Un saludo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido