Soporte » Seguridad » Cambio Email administrador

  • Resuelto hjota

    (@hjota)


    Hola, buenos días.
    Lo pongo aquí porque no se como hacer llegar una sugerencia a los programadores de wp.

    Cuando cambiamos el email del administrador, wp envía un correo al nuevo email con el enlace para confirmar el cambio de email.

    Y yo pienso que, no sería mejor enviar este enlace a la dirección original pues si nos jaquean la web y cambian este email el enlace lo recibirá el jaker y este podrá cambiar sin problemas este email.

    Por otro lado, como programador, al crear una web en wp, pongo mi email para verificar los correos que se envían o reciben desde la web y cuando la terminio cambio este email por el del cliente y tengo que esperar a que el cliente se de cuenta y pulse en el elnace para que el cambio sea efectivo, si yo recibiese este email, podría pulsar el enlace y el cambio de email sería hecho.

    No se, es mi impresión, si estoy equivocado pues ya me dirán en que.

    Un saludo a todos.
    Hermi.

Viendo 8 respuestas - 1 de 8 (de 8 total)
  • Moderador LGrusin

    (@lgrusin)

    La confirmación es precisamente para eso, para asegurar que quieres hacer el cambio. Si no confirmas no se realiza el cambio.

    Mediante algunos plugins tienes la posibilidad de añadir más direcciones de email, igual te interesa eso:
    https://wordpress.org/plugins/multiple-admin-email-addresses/

    Si, eso es corecto, pero el email de confirmación lo envía a la nueva dirección que se ha puesto no a la antigua y si la nueva es falsa no nos da opción a cancelar el cambio por si la cuenta ha sido comprometida.

    No se si me he explicado.
    Saludos.
    Hermi.

    Moderador LGrusin

    (@lgrusin)

    Se te entiende, pero si la nueva es falsa, nadie puede aceptar la confirmación y sigue la antigua.

    Lo importante es evitar que el sitio sea comprometido, lo de los correos es secundario.

    Hola, no me he explicado bien.

    Yo entro al back de wp y en el email de la cuenta es admin@prueba.es.
    Yo cambio este email y pongo crakeado@pormi.es
    El email de confirmación se envía a crakeado@pormi.es por lo que yo puedo aceptar el cambio mientras que el verdadero administrador admin@pruebas.es no puede hacer nada pues el email lo recibo yo.

    Si el email de confirmación se recibiese en admin@pruebas.es, el verdadero administrador podría cancelar este cambio.

    Saludos.
    Hermi

    • Esta respuesta fue modificada hace 2 meses, 4 semanas por hjota.
    Moderador Fernando Tellado

    (@fernandot)

    Pues en cierto modo tienes razón, pero para poder introducir el cambio antes el hacker tendría que haber entrado con la cuenta antigua como administrador, así que ya te habría hackeado, ya habría entrado con tu usuario/email y contraseña, o con un escalado de permisos, y te daría igual.

    La medida de WordPress no es de seguridad, es para garantizar que habrá un email de administración válido, antes de quitar el antiguo, por eso la manda al nuevo email, no al antiguo.

    Eso sí, no estaría mal que enviase un email previo al anterior admin, no posteriormente como hace ahora, no estaría de más 😉

    Puedes proponerlo aquí: https://core.trac.wordpress.org

    Gracias Fernando, desde tu punto de vista es lógico.

    Si el email que envía no es de seguridad está claro que así si.

    Un saludo.
    Hermi.

    Hola, necesito ayuda, ya que el creador de mi pagina era tambien el administrador, pues en ese entonces le pague para que la hiciera, pero luego ya no quise que el siguiera trabajando conmigo y ahora cuando entro a mi pagina supuestamente autoadministrable, no me aparece todo el menú, es decir, me falta la parte de ajustes, plugins y es porque crep que el creador quedó como administrador y no se como sacarlo.
    Alguien puede ayudarme.

    • Esta respuesta fue modificada hace 2 meses, 3 semanas por mctortola.
    Moderador Fernando Tellado

    (@fernandot)

    @mctortola Abre un debate nuevo, tu consulta no tiene nada que ver con esta

Viendo 8 respuestas - 1 de 8 (de 8 total)
  • Debes estar registrado para responder a este debate.