Zabezpieczanie kont administracyjnych - wykrywanie nazwy użytkownika

9

Przez kilka tygodni zainstalowaliśmy Limit Próby logowania , a liczba prób brutalnej siły na wp-admin / wp-login jest niesamowita. Na początku wszystkie próby dotyczyły nazwy użytkownika „Administrator”, która nie istnieje na naszej stronie, więc uznałem to za irytację, ale nie za duże zagrożenie. Jednak teraz widzimy blokady występujące w przypadku innych nazwanych kont użytkowników administracyjnych i zupełnie nie rozumiem, w jaki sposób atakujący dedukują nazwy tych kont.

Żadne treści na naszej stronie nie są autorstwa nikogo w szczególności i nie mogę znaleźć innej lokalizacji na naszej stronie, w której te nazwy użytkowników są publicznie publikowane.

Masz pomysł, w jaki sposób nazwy użytkowników mogą być wykrywalne?

użytkownik20814
źródło

Odpowiedzi:

9

Jeśli masz włączone dość bezpośrednie łącza, WordPress przekieruje wszystkie wywołania do /?author=1archiwum autora z nazwą użytkownika, np /author/bob/.: I wtedy odwiedzający pozna nazwisko autora.

Użyj blokady logowania , ta wtyczka nie resetuje kont, blokuje adresy IP.

fuxia
źródło
„Próby zalogowania z limitem blokują dalsze próby adresu internetowego po osiągnięciu określonego limitu ponownych prób ...” Nie jestem związany z wtyczką, ale korzystam z niej i właśnie to wydaje się robić. Adres IP powiązany z nieudanym logowaniem jest rejestrowany, a adres jest blokowany, jeśli zostanie osiągnięty konfigurowalny maksymalny limit próby. Ponadto „Blokada logowania” nie była aktualizowana od dwóch lat.
s_ha_dum
2

Sprytne robale. Myślę, że po prostu przekieruję żądania do /? Autor =. Brzmi rozsądnie? Coś jak:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
użytkownik20814
źródło
To byłby Security by Obscurity . Lepiej jest skonfigurować swoją witrynę, aby nie miało znaczenia, czy użytkownik zna Twoją nazwę użytkownika. Wtyczki LLA łamią tę istotną zasadę; nie idź tą samą drogą.
fuxia
@toscho czy możesz opracować? Nie sądzę, że wtyczka LLA całkowicie łamie tę zasadę. Działa poprzez zainicjowanie blokady IP po x nieudanych próbach logowania. To nie działa, nawet gdy atakujący zna nazwę użytkownika. Co jeszcze można zrobić? Ochrona hasłem wp-admin ... biała lista tylko niektórych adresów IP z .htaccess ... upewnij się, że wszyscy użytkownicy mają silne hasła ...? Niezależnie od któregokolwiek / wszystkich powyższych, nadal podoba mi się powyższa opcja przekierowania dla ochrony pasów i szelek.
user20814,
Może źle to pamiętam. Miałem wrażenie, że pewien użytkownik zostanie zablokowany po kilku nieudanych próbach logowania.
fuxia
Cholera, masz rację. Źle powiedziałem. Blokada zależy od użytkownika.
user20814,