Protezione degli account amministratore - Individuazione nome utente

9

Sono stati installati tentativi di accesso con limite per alcune settimane e il numero di tentativi di forza bruta che si verificano su wp-admin / wp-login è piuttosto sorprendente. All'inizio i tentativi erano tutti con il nome utente "Admin", che non esiste sul nostro sito, quindi l'ho considerato un fastidio, ma non una minaccia. Tuttavia, ora stiamo assistendo a blocchi che si verificano con altri account utente admin nominati e sono completamente a corto di comprensione di come gli aggressori stanno deducendo i nomi utente di questi account.

Nessun contenuto sul nostro sito è stato creato da nessuno in particolare e non riesco a trovare un'altra posizione sul nostro sito in cui questi nomi utente sono pubblicati pubblicamente.

Qualche idea su come i nomi utente potrebbero essere rilevabili?

admin  wp-admin  security 
user20814
fonte

Risposte:

9

Se hai abbastanza permalink abilitati WordPress reindirizzerà tutte le chiamate /?author=1all'archivio dell'autore con il nome utente, ad es /author/bob/. : . E poi il visitatore conoscerà il nome dell'autore.

Usa il Blocco accesso , che il plug-in non reimposta gli account, bloccherà gli indirizzi IP.

fuxia
fonte
"Limita i tentativi di accesso impedisce a un indirizzo Internet di effettuare ulteriori tentativi dopo che è stato raggiunto un limite specificato per i tentativi ..." Non sono affiliato al plug-in, ma lo uso e questo è esattamente ciò che sembra fare. L'indirizzo IP associato a un accesso non riuscito viene registrato e l'indirizzo viene bloccato se viene raggiunto un limite massimo di tentativo configurabile. Inoltre, "Blocco accesso" non è stato aggiornato da due anni.
s_ha_dum,
2

Bugger intelligenti. Penso che reindirizzerò le richieste a /? Author =. Sembra ragionevole? Qualcosa di simile a:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
user20814
fonte
Sarebbe Security by Obscurity . È meglio configurare il tuo sito in modo che non abbia importanza se un visitatore conosce il tuo nome utente. I plugin LLA infrangono questa regola essenziale; non andare allo stesso modo.
fuxia
@toscho puoi elaborare? Non credo che il plugin LLA infrange completamente questa regola. Funziona avviando un blocco IP dopo x tentativi di accesso falliti. Si fa funzionare anche quando un attaccante conosce il nome utente. Cos'altro può essere fatto? Protezione password wp-admin ... autorizza solo determinati IP con .htaccess ... assicurati che tutti gli utenti abbiano password complesse ...? Indipendentemente da quanto sopra, mi piace ancora l'opzione di reindirizzamento di cui sopra per la protezione della cintura e delle bretelle.
user20814
Forse me lo ricordo male. Ho avuto l'impressione che un determinato utente verrà bloccato dopo alcuni tentativi di accesso non riusciti.
fuxia
In realtà, merda, hai ragione. Ho sbagliato. Il blocco si basa sull'utente.
user20814
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.