Bảo mật tài khoản quản trị - Khám phá tên người dùng

9

Chúng tôi đã cài đặt Giới hạn đăng nhập trong vài tuần nay và số lần thử sức mạnh vũ phu xảy ra trên wp-admin / wp-login là khá đáng kinh ngạc. Lúc đầu, tất cả các nỗ lực đều có tên người dùng "Quản trị viên", không tồn tại trên trang web của chúng tôi, vì vậy tôi coi đó là một sự phiền toái nhưng không phải là một mối đe dọa lớn. Tuy nhiên, hiện tại chúng tôi đang chứng kiến ​​các vụ khóa xảy ra với các tài khoản người dùng quản trị viên có tên khác và tôi hoàn toàn không hiểu về cách những kẻ tấn công đang suy luận tên người dùng của các tài khoản này.

Không có nội dung nào trên trang web của chúng tôi được tác giả bởi bất kỳ ai nói riêng và tôi không thể tìm thấy bất kỳ vị trí nào khác trên trang web của chúng tôi nơi những tên người dùng này được xuất bản công khai.

Bất kỳ ý tưởng nào về cách tên người dùng có thể được khám phá?

admin  wp-admin  security 
người dùng20814
nguồn

Câu trả lời:

9

Nếu bạn đã bật permalinks, WordPress sẽ chuyển hướng tất cả các cuộc gọi đến /?author=1kho lưu trữ của tác giả với tên người dùng, vd /author/bob/. : . Và sau đó khách truy cập sẽ biết tên tác giả.

Sử dụng Khóa đăng nhập , plugin đó không thiết lập lại tài khoản, nó sẽ chặn địa chỉ IP.

fuxia
nguồn
"Giới hạn đăng nhập Nỗ lực ngăn chặn một địa chỉ Internet thực hiện các lần thử tiếp theo sau khi đạt đến giới hạn chỉ định thử lại ..." Tôi không liên kết với plugin nhưng sử dụng nó và đó chính xác là những gì nó xuất hiện. Địa chỉ IP được liên kết với đăng nhập thất bại được ghi lại và địa chỉ bị chặn nếu đạt đến giới hạn cố gắng tối đa có thể định cấu hình. Ngoài ra, "Khóa đăng nhập" đã không được cập nhật trong hai năm.
s_ha_dum
2

Thông minh buggers. Tôi nghĩ rằng tôi sẽ chuyển hướng yêu cầu đến /? Tác giả =. Âm thanh hợp lý? Cái gì đó như:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
người dùng20814
nguồn
Đó sẽ là Bảo mật bởi sự tối nghĩa . Tốt hơn là định cấu hình trang web của bạn để nó không thành vấn đề nếu khách truy cập biết tên người dùng của bạn. Các plugin LLA đang phá vỡ quy tắc thiết yếu này; đừng đi cùng một con đường
fuxia
@toscho bạn có thể giải thích? Tôi không nghĩ plugin LLA hoàn toàn phá vỡ quy tắc này. Nó hoạt động bằng cách bắt đầu khóa IP sau khi x lần đăng nhập thất bại. Nó không làm việc ngay cả khi một kẻ tấn công biết tên người dùng. Những gì người khác có thể được thực hiện? Mật khẩu bảo vệ wp-admin ... danh sách trắng chỉ một số ip nhất định có .htaccess ... đảm bảo tất cả người dùng có mật khẩu mạnh ...? Bất kể bất kỳ / tất cả những điều trên, tôi vẫn thích tùy chọn chuyển hướng ở trên để bảo vệ vành đai và treo.
dùng20814
Có lẽ tôi nhớ điều này sai. Tôi có cảm tưởng rằng một người dùng nào đó sẽ bị khóa sau một số lần đăng nhập thất bại.
fuxia
Thật ra, tào lao là bạn đúng. Tôi đã bỏ lỡ. Việc khóa được dựa trên người dùng.
dùng20814
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.