การรักษาความปลอดภัยบัญชีผู้ดูแลระบบ - การค้นหาชื่อผู้ใช้

9

เราได้ติดตั้งความพยายามในการเข้าสู่ระบบแบบ จำกัด เป็นเวลาหลายสัปดาห์แล้วและจำนวนครั้งของความพยายามดุร้ายที่เกิดขึ้นใน wp-admin / wp-login นั้นน่าทึ่งมาก ในตอนแรกความพยายามนั้นเกิดจากชื่อผู้ใช้ "ผู้ดูแลระบบ" ซึ่งไม่มีอยู่ในเว็บไซต์ของเราดังนั้นฉันคิดว่ามันน่ารำคาญ แต่ก็ไม่ได้เป็นภัยคุกคามมากนัก อย่างไรก็ตามตอนนี้เรากำลังเห็นการล็อกเกิดขึ้นกับบัญชีผู้ใช้ที่เป็นผู้ดูแลระบบรายอื่นและฉันก็สูญเสียความเข้าใจอย่างสมบูรณ์ว่าผู้โจมตีกำลังหักล้างชื่อผู้ใช้ของบัญชีเหล่านี้อย่างไร

ไม่มีเนื้อหาใดในเว็บไซต์ของเราที่เขียนขึ้นโดยใครโดยเฉพาะและฉันไม่สามารถค้นหาตำแหน่งอื่น ๆ ในเว็บไซต์ของเราที่ชื่อผู้ใช้เหล่านี้ถูกเผยแพร่สู่สาธารณะ

มีแนวคิดใดเกี่ยวกับชื่อผู้ใช้ที่สามารถค้นพบได้อย่างไร

admin  wp-admin  security 
user20814
แหล่งที่มา

คำตอบ:

9

ถ้าคุณมี Permalinks สวยเปิดการใช้งาน WordPress จะเปลี่ยนเส้นทางทุกสายเพื่อ/?author=1ที่จะเก็บผู้เขียนที่มีชื่อผู้ใช้เช่น/author/bob/.: จากนั้นผู้เข้าชมจะทราบชื่อผู้แต่ง

ใช้ล็อคเข้าสู่ระบบปลั๊กอินที่ไม่ได้ตั้งค่าบัญชีก็จะบล็อกที่อยู่ IP

fuxia
แหล่งที่มา
"ความพยายาม จำกัด การเข้าสู่ระบบบล็อกที่อยู่อินเทอร์เน็ตไม่ให้พยายามต่อไปหลังจากถึงขีด จำกัด ที่ระบุในการลองใหม่ ... "ฉันไม่ได้เข้าร่วมกับปลั๊กอิน แต่ใช้งานและนั่นเป็นสิ่งที่ดูเหมือนว่าจะทำ ที่อยู่ IP ที่เชื่อมโยงกับการเข้าสู่ระบบที่ล้มเหลวจะถูกบันทึกและที่อยู่จะถูกบล็อกหากถึงขีด จำกัด สูงสุดของความพยายามที่กำหนดได้ นอกจากนี้ "การล็อคเข้าระบบ" ยังไม่ได้รับการอัปเดตภายในสองปี
s_ha_dum
2

นักเขียนที่ฉลาด ฉันคิดว่าฉันกำลังจะเปลี่ยนเส้นทางคำขอไปยัง /? ผู้เขียน = ฟังดูสมเหตุสมผลหรือไม่ สิ่งที่ต้องการ:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
user20814
แหล่งที่มา
ที่จะมีการรักษาความปลอดภัยจากความสับสน เป็นการดีกว่าที่จะกำหนดค่าไซต์ของคุณเพื่อไม่ให้เกิดปัญหาหากผู้เข้าชมรู้จักชื่อผู้ใช้ของคุณ ปลั๊กอิน LLA กำลังทำลายกฎที่สำคัญนี้ อย่าไปในทางเดียวกัน
fuxia
@toscho คุณสามารถทำอย่างละเอียด? ฉันไม่คิดว่าปลั๊กอิน LLA ทำผิดกฎนี้อย่างสมบูรณ์ มันทำงานได้โดยการเริ่มต้นการล็อค IP หลังจาก x ล้มเหลวในการพยายามเข้าสู่ระบบ มันจะทำงานแม้ในขณะที่ผู้โจมตีรู้ชื่อผู้ใช้ มีอะไรอีกบ้างที่สามารถทำได้ รหัสผ่านป้องกัน wp-admin ... รายการที่อนุญาตเฉพาะ ip บางรายการด้วย. htaccess ... ตรวจสอบให้แน่ใจว่าผู้ใช้ทุกคนมีรหัสผ่านที่คาดเดายาก ... ? ไม่ว่าจะมีข้อใดข้อหนึ่งหรือทั้งหมดข้างต้นฉันยังคงชอบตัวเลือกการเปลี่ยนเส้นทางข้างต้นสำหรับการป้องกันเข็มขัดและสายแขวน
user20814
บางทีฉันอาจจำผิด ฉันมีความประทับใจว่าผู้ใช้บางรายจะถูกล็อคหลังจากพยายามเข้าสู่ระบบล้มเหลว
fuxia
อันที่จริงอึคุณพูดถูก ฉันสะกดผิด การปิดใช้จะขึ้นอยู่กับผู้ใช้
user20814
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.