Защита учетных записей администратора - обнаружение имени пользователя

9

В течение нескольких недель у нас были установлены попытки ограничения входа в систему , и количество попыток перебора в wp-admin / wp-login довольно удивительно. Сначала все попытки были сделаны с именем пользователя «Admin», которого нет на нашем сайте, поэтому я счел это раздражением, но не большой угрозой. Однако теперь мы наблюдаем блокировки с другими именованными учетными записями администраторов, и я совершенно не понимаю, как злоумышленники определяют имена пользователей этих учетных записей.

Ни один контент на нашем сайте не создан кем-то конкретным, и я не могу найти другое место на нашем сайте, где эти имена пользователей публикуются публично.

Любая идея о том, как имена пользователей могут быть обнаружены?

user20814
источник

Ответы:

9

Если у вас есть довольно Permalinks включено WordPress будет перенаправлять все вызовы /?author=1в архив автора с именем пользователя, например .: /author/bob/. И тогда посетитель узнает имя автора.

Используйте Login Lockdown , чтобы плагин не сбрасывал аккаунты, он блокировал IP-адреса.

Фуксия
источник
«Ограничение попыток входа в систему блокирует попытки получения Интернет-адреса дальнейших попыток после достижения указанного предела повторных попыток ...» Я не связан с плагином, но использую его, и это именно то, что он делает. IP-адрес, связанный с неудачной регистрацией, регистрируется, и адрес блокируется, если достигается настраиваемое максимальное количество попыток. Кроме того, «Блокировка входа в систему» ​​не обновлялась в течение двух лет.
s_ha_dum
2

Умные пидоры Я думаю, что я просто собираюсь перенаправить запросы к /? Author =. Звучит разумно? Что-то вроде:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
user20814
источник
Это была бы безопасность от неизвестности . Лучше настроить свой сайт так, чтобы не важно, знает ли посетитель ваше имя пользователя. Плагины LLA нарушают это важное правило; не идите тем же путем.
fuxia
@ toscho ты можешь уточнить? Я не думаю, что плагин LLA полностью нарушает это правило. Это работает, инициируя блокировку IP после x неудачных попыток входа в систему. Это действительно работает , даже когда злоумышленник знает имя пользователя. Что еще можно сделать? Защита паролем wp-admin ... белый список только определенных ip с .htaccess ... убедитесь, что все пользователи имеют надежные пароли ...? Независимо от любого / всего вышеперечисленного, мне все еще нравится вышеупомянутая опция перенаправления для защиты ремней и подтяжек.
user20814
Возможно я помню это неправильно. У меня сложилось впечатление, что определенный пользователь будет заблокирован после нескольких неудачных попыток входа.
Fuxia
На самом деле, дерьмо, ты прав. Я оговорился. Блокировка зависит от пользователя.
user20814