Yönetici Hesaplarının Güvenliğini Sağlama - Kullanıcı Adı Bulma

9

Birkaç hafta boyunca Limit Giriş Denemeleri kurduk ve wp-admin / wp-login'te gerçekleşen kaba kuvvet girişimlerinin sayısı oldukça şaşırtıcı. İlk denemelerin hepsi sitemizde olmayan "Yönetici" kullanıcı adıyla yapıldı, bu yüzden bunu bir sıkıntı olarak gördüm, ancak çok fazla tehdit oluşturmadım. Ancak, şimdi diğer adlandırılmış yönetici kullanıcı hesaplarında meydana gelen kilitlenmeleri görüyoruz ve saldırganların bu hesapların kullanıcı adlarını nasıl çıkardıkları konusunda tamamen bir anlayış kaybım var.

Sitemizdeki hiçbir içerik özellikle herkes tarafından yazılmamıştır ve sitemizde bu kullanıcı adlarının herkese açık olarak yayınlandığı başka bir yer bulamıyorum.

Kullanıcı adlarının nasıl keşfedilebileceği hakkında bir fikriniz var mı?

admin  wp-admin  security 
user20814
kaynak

Yanıtlar:

9

Oldukça kalıcı izinleriniz varsa, WordPress tüm çağrıları /?author=1kullanıcı arşiviyle yazar arşivine yönlendirir , örn .: /author/bob/. Ve sonra ziyaretçi yazarın adını bilecek.

Giriş Kilidi'ni kullanın , bu eklenti hesapları sıfırlamaz, IP adreslerini engeller.

fuxia
kaynak
"Oturum Açma Girişimlerini Sınırla, yeniden denemelerde belirtilen bir sınıra ulaşıldıktan sonra bir İnternet adresinin başka denemeler yapmasını engeller ..." Eklentiye bağlı değilim ama kullanıyorum ve tam olarak böyle görünüyor. Başarısız bir oturum açma işlemiyle ilişkili IP adresi günlüğe kaydedilir ve yapılandırılabilir bir maksimum deneme sınırına ulaşıldığında adres engellenir. Ayrıca, "Giriş Kilidi" iki yıl içinde güncellenmedi.
s_ha_dum
2

Akıllı hatalar. Ben sadece /? Author = istekleri yönlendireceğim düşünüyorum. Kulağa makul geliyor mu? Gibi bir şey:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
user20814
kaynak
Bu, Gizli Bir Güvenliktir . Sitenizi, bir ziyaretçinin kullanıcı adınızı bilip bilmemesi önemli olmayacak şekilde yapılandırmak daha iyidir. LLA eklentileri bu temel kuralı ihlal ediyor; aynı şekilde gitme.
fuxia
@toscho hakkında ayrıntılı bilgi verebilir misiniz? LLA eklentisinin bu kuralı tamamen ihlal ettiğini düşünmüyorum. X başarısız oturum açma denemesinden sonra bir IP kilitleme başlatarak çalışır. Bu vermez bir saldırganın kullanıcı adını bilen bile çalışır. Başka ne yapılabilir? Şifre korumak wp-admin ... beyaz liste sadece belirli ip .htaccess ile ip ... tüm kullanıcıların güçlü şifreleri olduğundan emin olun ...? Yukarıdakilerin hiçbirine / hepsine bakılmaksızın, yine de kemer ve jartiyer koruması için yukarıdaki yönlendirme seçeneğini beğendim.
user20814
Belki de bunu yanlış hatırlıyorum. Bazı başarısız giriş denemelerinden sonra belirli bir kullanıcının kilitleneceği izlenimi edindim.
fuxia
Aslında, haklısın. Yanlış yazdım. Kilitleme, kullanıcıya dayalıdır.
user20814
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.