La semana pasada ha habido dos graves vulnerabilidades en dos plugins de WordPress: Easy WP SMTP (300.00 instalaciones activas) y Social Warefare (70.000 instalaciones activas).
Además de ir corriendo a actualizar estos plugins si los tenéis en alguna web, os dejamos una modificación del archivo .htaccess (para los que tengáis un hosting con Apache) que impide el registro de nuevos usuarios a través de la administración de WordPress.
Muchas vulnerabilidades lo que hacen es acceder a la administración de WordPress o a los archivos de la administración para crear nuevos usuarios con los que inyectar enlaces, modificar páginas, hacer redirecciones, etc.
OJO: Que vosotros tampoco podréis crear nuevos usuarios hasta que no comentéis esta línea en el .htaccess pero si son sitios donde habitualmente no se crean usuarios, no será un problema.
¿Cómo impedir el registro de nuevos usuarios en WordPress en el panel de administración?
Simplemente añadiendo esta línea al archivo .htaccess:
Redirect 301 /wp-admin/user-new.php /wp-admin/users.php
Redirige las peticiones de creación de nuevo usuario a la página de gestión de usuarios.
Sigue habiendo distintas formas de crear nuevos usuarios, pero esta al menos la estaremos impidiendo. Eso si, hay que recordar quitar la redirección si algún día queremos crear un usuario nuevo.