管理者アカウントの保護-ユーザー名の発見

9

私たちは持っていたリミットログイン試行今、いくつかの数週間のためにインストールして、WP-adminの/ WP-ログイン時に発生したブルートフォース試行回数はかなり驚くべきです。最初はすべて「Admin」というユーザー名を使った試みでしたが、これは私たちのサイトには存在しないので、私はそれを煩わしいものだと考えましたが、それほど脅威ではありません。しかし、現在、他の名前の付いた管理者ユーザーアカウントでロックアウトが発生しており、攻撃者がこれらのアカウントのユーザー名を推測する方法について完全に理解できなくなっています。

私たちのサイトのコンテンツは特に誰も作成しておらず、これらのユーザー名が公開されている私たちのサイトの他の場所を見つけることができません。

ユーザー名をどのように発見できるかについてのアイデアはありますか?

admin  wp-admin  security 
user20814
ソース

回答:

9

パーマリンクを有効にしている場合、WordPressはすべての呼び出しを作成/?author=1者アーカイブにユーザー名でリダイレクトします(例:)/author/bob/。そして、訪問者は著者名を知るでしょう。

ログインロックダウンを使用します。このプラグインはアカウントをリセットせず、IPアドレスをブロックします。

フクシア
ソース
「再試行に指定された上限の後、さらに試みを行うことから、インターネットアドレスに到達するリミットログイン試行ブロックは...」私はプラグインと提携していないのですが、それを使うのですか、それは何に見えるかを正確にあります。ログインの失敗に関連付けられたIPアドレスがログに記録され、構成可能な最大試行制限に達した場合、アドレスはブロックされます。また、「ログインのロックダウン」は2年間更新されていません。
s_ha_dum 2013
2

賢いバガー。/?author =にリクエストをリダイレクトすると思います。合理的に聞こえますか?何かのようなもの:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
user20814
ソース
それがObscurityによるセキュリティです。訪問者がユーザー名を知っているかどうかが問題にならないようにサイトを構成することをお勧めします。LLAプラグインはこの重要なルールを破っています。同じように行かないでください。
fuxia
@toschoは詳しく説明できますか?LLAプラグインがこのルールを完全に破ることはないと思います。x回のログイン試行が失敗した後にIPロックアウトを開始することで機能します。それはない攻撃者は、ユーザー名を知っている場合でも動作します。他に何ができますか?パスワードでwp-adminを保護します... .htaccessで特定のIPのみをホワイトリストに登録します...すべてのユーザーが強力なパスワードを持っていることを確認してください...?上記のいずれか/すべてに関係なく、私はベルトとサスペンダー保護のための上記のリダイレクトオプションがまだ好きです。
user20814 2012
多分私はこれを間違ったことを覚えています。ログインに失敗すると、特定のユーザーがロックアウトされるような印象を受けました。
fuxia
実際には、あなたが正しいがらくた。間違えた。ロックアウトはユーザーに基づいています。
user20814 2012
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.