Me estoy acordando en estos momentos de la cantidad de herramientas online que existen enfocadas a la detección de información de instalaciones de WordPress, las cuales arrojan mucha información, y pienso en la cantidad de datos sensibles que aportan, lo que afecta de manera importante a la Seguridad en WordPress.
Sin querer ponerme en la piel de un usuario malicioso, debo decir que esta información puede ser el punto de partida para que se intente vulnerar un sitio web, directa o indirectamente, tal y como ya se ha comentado en el artículo en el que hablé sobre la enumeración de usuarios en WordPress.
¿Y si pudieras ocultar el tema que usas en tu blog o tienda de WordPress a ojos de curiosos o de usuarios malintencionados?, no te va a salvar de tener que hacer la declaración de la renta, pero sí evitará que en base a los datos que estas herramientas aportan sobre el tema de WordPress que usas, des ideas a la competencia, o peor aún, reveles a usuarios malintencionados que estás utilizando un tema desactualizado o vulnerable.
Hay formas rudimentarias de ocultar los datos del tema, pero requieren tocar código aquí y allá y siempre queda la duda de si estos cambios van a prevalecer tras una actualización del tema, pues un child-theme no es la solución, ya que el tema "padre" seguiría conservando datos que lo podrían delatar a ojos de herramientas que escarban en el código para decirte qué tema estás usando.
¿Cómo averiguar el tema en uso?
Dispones de muchas herramientas en Internet que permiten analizar un sitio web, de forma no intrusiva, y saber que tema utiliza ese sitio web, quien es el desarrollador del tema, que versión del tema tiene instalada y además otros datos como plugins instalados, etc.
Centrándonos en averiguar el tema en uso, probemos con una web propia, que uso para las pruebas de estos artículos, y de la cual puedo averiguar el tema instalado pasándola por ejemplo por el detector WordPress Theme Search
Simplemente indicando la url del dominio a consultar, en pocos segundos se obtienen datos al respecto...
Como puedes ver en apenas 3 o 4 segundos hemos averiguado el nombre del tema, la versión en uso y la url del autor o del tema que se usa en la instalación de WordPress analizada.
A primera vista no son datos relevantes y podríamos dejar pasar el que sean accesibles, no es un problema de seguridad, pero sí podría convertirse en un vector de ataque para usuarios maliciosos con los conocimientos suficientes para explotar algún fallo o vulnerabilidad que el tema en uso pudiese tener.
Evitar esto es tan sencillo como ocultarlo, al menos para no ponérselo fácil a la mayoría de usuarios que no tengan buenas intenciones, incluso para empresas o profesionales que tratan de estudiar los pormenores del sitio web de la competencia para clonarlo o parecerse a él y así captar usuarios despistados.
En el Directorio de Plugins de WordPress encontrarás plugins como Hide Your Theme Name que "en teoría" tiene el propósito de ofuscar u ocultar el nombre del tema y demás datos adicionales del mismo a quienes utilizando herramientas de obtención de datos traten de averiguarlo.
La recomendación es que no lo instales si no quieres depararte con un desagradable ERROR 500 tras activarlo.
De momento el autor del plugin no da señales de vida sobre el porqué de este error 500 que yo he podido reproducir en 3 instalaciones, con temas diferentes, por lo que deduzco que es algún bug no corregido por el autor o falta de compatibilidad con WordPress 4.5.2
Usaremos el método tradicional de toda la vida que es el método manual para eliminar el código que delata el tema en uso para dejar de exponerlo a propios y extraños.
Procedimiento para eliminar datos del tema:
- Realiza una copia de seguridad de tu WordPress (XCloner, UpdraftPlus, etc).
- Desde el dashboard ve a Apariencia, Editor.
- Abre el archivo style.css (al final de la lista a la derecha).
- Elimina las líneas referentes a:
- Url del Tema.
- Autor del Tema.
- Url del autor del Tema.
- Descripción del Tema.
- Versión.
- Licencia.
- Guarda los cambios en style.css
Con estos datos debería ser suficiente.
Theme Name: Epimeteo Theme for WordPress Theme URI: http://www.webempresa.com Description: Epimeteo theme for Wordpress Version: 1.0.0 Author: Webempresa Author URI: http://www.webempresa.com
Antes de eliminar los datos en style.css
Después de eliminar los datos en style.css
Tranquilo que no se va a romper nada, solo vas a dejar de exponer algunos datos, que como explicaba al comienzo, para ti pueden ser banales, pero para otros usuarios con no buenas intenciones, es información útil en el proceso de obtención de datos (OSINT).
Si vuelves a realizar una análisis del sitio web con alguna de las herramientas online habituales, el resultado será muy diferente.
Simple, rápido y aséptico. Y no es necesario renombrar o eliminar el archivo /public_html/wp-content/themes/tu-tema-en-uso/screenshot.png que es la captura de pantalla del tema que se muestra en los detectores de temas o en el dashboard, Temas.
Si vas a Apariencia, Temas, y se muestra la miniatura del tema, ten presente que es una imagen interna, solo visible desde el dashboard, pero es posible que algún detector mejor programado sea capaz de leer el archivo de la miniatura y mostrarla a quien analice tu web.
Puedes eliminar el archivo de la miniatura, renombrarlo o mejor aún, cambiarlo por otra imagen ...la imaginación es el límite! jejeje ヅ
Con un poquito de GIMP (o lo que tu uses, vale también Desygner) puedes hacer un poco de cosmética en la imagen para customizarla a tu gusto.
Total, si eliminaste las líneas que te dije los detectores no lo van a ver.
Ahhhh que quieres que la imagen "customizada" que has preparado en sustitución de la captura (imagen previa) del tema sí se muestre, bueno pues nada, añade en el archivo style.css la línea siguiente:
Theme URI: http://www.webempresa.com
La URI puede ser cualquiera. También funciona sin URI mientras que el texto Theme URI figure. Claro que también puedes inventarte los datos también ...jeje.
Y en un detector de temas se vería algo así...
Mola verdad! pues no te cuento lo que yo me he divertido haciendo pruebas para hacer que otros vean lo que yo quiero que vean cuando visiten mi web. Pero mejor no te lo cuento que nos salimos del tema.
Además sin usar plugins, sin necesidad de recargar los recursos del servidor donde se ejecuta tu sitio web ni hacer cosas complicadas.
Venga va, pruebalo en tu tema, sin miedo, que no vas a romper nada, y al menos te pasas un rato entretenido y de paso practicas estas cuestiones.
¿Y tu, como te lo montas, sigues regalando la información de tu sitio WordPress a todo curioso que se arrima?