Захист облікових записів адміністраторів - виявлення імені користувача

9

У нас вже кілька тижнів встановлені спроби обмеження входу , а кількість спроб грубої сили, що виникають у wp-admin / wp-login, є надзвичайно приголомшливою. Спочатку всі спроби були з ім'ям користувача "Адміністратор", якого немає на нашому сайті, тому я вважав це роздратуванням, але не великою загрозою. Однак зараз ми бачимо блокування з іншими обліковими записами користувачів адміністратора, і я повністю втрачаю розуміння того, як зловмисники виводять імена користувачів цих облікових записів.

Жоден вміст на нашому веб-сайті не є автором когось, і я не можу знайти жодного іншого місця на нашому сайті, де ці імена користувачів публічно публікуються.

Будь-яка ідея щодо того, як імена користувачів можуть бути відкритими?

admin  wp-admin  security 
user20814
джерело

Відповіді:

9

Якщо у вас активовано постійні посилання, WordPress буде перенаправляти всі дзвінки до /?author=1архіву автора з ім'ям користувача, наприклад /author/bob/.: І тоді відвідувач дізнається ім’я автора.

Використовуйте Блокування входу , щоб плагін не скидав облікові записи, він блокує IP-адреси.

фуксія
джерело
"Обмежити спроби входу забороняє Інтернет-адресу робити подальші спроби після досягнення визначеного обмеження на повторні спроби ..." Я не пов'язаний з плагіном, але використовую його, і саме це, як видається, робить. IP-адреса, пов’язана з невдалим входом у систему, реєструється, а адреса блокується, якщо досягнуто максимально налаштований ліміт спроби. Крім того, "Блокування входу в систему" не було оновлено протягом двох років.
s_ha_dum
2

Розумні хитрини. Я думаю, що я просто збираюся перенаправляти запити на /? Author =. Звучить розумно? Щось на зразок:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
user20814
джерело
Це була б безпека з боку незрозумілості . Краще налаштувати свій сайт так, щоб не було значення, чи відвідувач знає ваше ім’я користувача. Плагіни LLA порушують це суттєве правило; не йдіть тим же шляхом.
фуксія
@toscho ви можете розробити? Я не думаю, що плагін LLA повністю порушує це правило. Він працює, ініціюючи блокування IP після x спроб входу. Це дійсно працює , навіть коли зловмисник знає ім'я користувача. Що ще можна зробити? Захист паролем wp-admin ... білий список лише певних ip з .htaccess ... переконайтеся, що всі користувачі мають надійні паролі ...? Незалежно від будь-якого / всього вищесказаного, мені все одно подобається вищезазначений варіант переадресації для захисту ременів та підвісок.
користувач20814
Можливо, я неправильно пам’ятаю це. У мене склалося враження, що певний користувач буде заблокований після деяких невдалих спроб входу.
fuxia
Власне, лайно ти маєш рацію. Я помиляюсь. Блокування блокується на основі користувача.
користувач20814
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.