Mengamankan Akun Admin - Penemuan Nama Pengguna


9

Kami telah menginstal Upaya Batas Login selama beberapa minggu sekarang, dan jumlah upaya brute force yang terjadi di wp-admin / wp-login cukup luar biasa. Pada awalnya upaya itu semua dengan nama pengguna "Admin," yang tidak ada di situs kami, jadi saya menganggapnya sebagai gangguan tetapi tidak banyak ancaman. Namun, sekarang kami melihat penutupan terjadi dengan akun pengguna admin bernama lainnya dan saya benar-benar kehilangan pemahaman tentang bagaimana penyerang menyimpulkan nama pengguna akun ini.

Tidak ada konten di situs kami yang dibuat oleh siapa pun secara khusus dan saya tidak dapat menemukan lokasi lain di situs kami di mana nama pengguna ini dipublikasikan untuk umum.

Adakah gagasan tentang bagaimana nama pengguna dapat ditemukan?

Jawaban:


9

Jika Anda memiliki permalink yang diaktifkan, WordPress akan mengalihkan semua panggilan ke /?author=1arsip penulis dengan nama pengguna, mis /author/bob/. : . : . Dan kemudian pengunjung akan tahu nama penulisnya.

Gunakan Login Lockdown , plugin itu tidak mengatur ulang akun, itu akan memblokir alamat IP.


"Upaya Batas Login memblokir alamat Internet agar tidak melakukan upaya lebih lanjut setelah batas retries yang ditentukan tercapai ..." Saya tidak berafiliasi dengan plugin tetapi menggunakannya dan itulah yang tampaknya dilakukan. Alamat IP yang terkait dengan login gagal dicatat dan alamat diblokir jika batas upaya maksimum yang dapat dikonfigurasi tercapai. Juga, "Login Lockdown" belum diperbarui dalam dua tahun.
s_ha_dum

2

Pengacau yang pintar. Saya pikir saya hanya akan mengarahkan permintaan ke /? Penulis =. Kedengarannya masuk akal? Sesuatu seperti:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}

Itu akan Keamanan oleh Obscurity . Lebih baik mengkonfigurasi situs Anda sehingga tidak masalah jika pengunjung tahu nama pengguna Anda. Plugin LLA melanggar aturan penting ini; jangan pergi dengan cara yang sama.
fuxia

@toscho dapat Anda jelaskan? Saya tidak berpikir plugin LLA benar-benar melanggar aturan ini. Ini bekerja dengan memulai penguncian IP setelah upaya login gagal x. Ini tidak bekerja bahkan ketika penyerang tahu nama pengguna. Apa lagi yang bisa dilakukan? Melindungi kata sandi wp-admin ... daftar putih hanya ip tertentu dengan .htaccess ... pastikan semua pengguna memiliki kata sandi yang kuat ...? Terlepas dari salah satu / semua hal di atas, saya masih suka opsi pengalihan di atas untuk perlindungan sabuk-dan-suspender.
user20814

Mungkin saya ingat ini salah. Saya mendapat kesan bahwa pengguna tertentu akan dikunci setelah beberapa upaya gagal masuk.
fuxia

Sebenarnya, sial kau benar. Saya salah bicara. Lockout didasarkan pada pengguna.
user20814
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.