Атака грубой силой / перечисление пользователей

С прошлой недели я продолжаю получать предупреждения о неудачных попытках входа на мой сайт WordPress.

Первые пару дней злоумышленник использовал неправильное имя пользователя и впоследствии был заблокирован после 3 попыток. Я использую плагины Sucuri Free и WP-Security. В последнем есть функция блокировки входа в систему.

Мое удивление произошло, когда через пару дней злоумышленник нашел и использовал мое имя пользователя. Я немедленно изменил его на новое имя пользователя, думая, что буду в безопасности. Я также использовал большинство параметров защиты в обоих плагинах. Я специально проверил, что строка ? author = n, не дает никаких результатов на моем веб-сайте.

Тем не менее, сегодня я получил еще 3 предупреждения о том, что кто-то пытался войти в систему с этим новым именем пользователя, что означает, что я заблокирован на моем собственном сайте на 24 часа.

Это заставляет меня задуматься:

а) как кто-то может найти мое имя пользователя?

б) есть ли какой-либо другой плагин, например cerber security, который предотвращает эти эксплойты?

в) есть ли какое-нибудь правило, которое я могу добавить в htaccess? (хотя я считаю, что в суури и wp-security добавлено несколько правил)

огромное спасибо!

Как убрать количество товаров в категории WooCommerce
Как убрать количество товаров в категории WooCommerce
По умолчанию WooCommerce показывает количество товаров рядом с категорией, как показано ниже.
2
0
496
1

Ответы 1

список пользователей

Пользователь может указать ваши имена пользователей, используя:

yoursite.com?author=1

Где ID - это user_id.

Вы можете предотвратить это, обнаружив страницу автора и перенаправив ее, например, (вставьте свою тему function.php):

// Disable access to author page
function remove_author_pages_page() {
    global $wp_query;

    if ( is_author() ) {
        $wp_query->set_404();
        status_header(404);
        wp_redirect(get_option('home'));
    }
}
add_action( 'template_redirect', 'remove_author_pages_page' );

Найдите имя пользователя от wp-admin

  • Злоумышленник может найти имя пользователя, войдя в систему на wp-admin.
  • Если злоумышленник вводит хорошее имя пользователя, даже с неправильным паролем, сообщение об ошибке wordpress изменяется, поэтому злоумышленник знает, что имя пользователя существует.
  • Вы можете добавить этот код в свой function.php, чтобы предотвратить появление сообщений об ошибках входа в систему wp-admin, содержащих какую-либо информацию.

код:

function no_wordpress_errors() {
    return '<strong>Error</strong>: check your logins';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

предотвратить брутфорс wp-admin

Это решение, которое мне очень нравится:

  • Он использует плагин wp-fail2ban
  • Вашему серверу необходимо установить и настроить пакет fail2ban.
  • Этот пакет позволяет вам запретить (из iptables) IP-адрес, который много раз не может подключиться к SSH, или переборщить порт.
  • плагин wp-fail2ban дает вам настраиваемую тюрьму fail2ban для добавления к вашим тюрьмам fail2ban (у плагина wp есть полная документация по этому поводу)
  • с обоими установленными, fail2ban будет блокировать IP, который слишком часто выходит из строя на WP-admin (на уровне IPtable, поэтому PHP даже не достигается. Злоумышленник, в конце концов, не будет использовать много ресурсов сервера, поскольку сервер заблокирует его IP. Он даже не может достучаться до PHP)

Некоторые другие подключаемые модули (например, Wordfence) также обеспечивают некоторую безопасность, но по мере их достижения злоумышленник использует гораздо больше ресурсов. Но для его реализации требуется меньше технических знаний.

спасибо, но, как я уже упоминал в своем сообщении, строка «? author = 1» не дает никаких результатов (не показывает мое имя пользователя). Я считаю, что из-за плагинов Sucuri или WP-безопасности. Так что я предполагаю, что есть другой способ, которым они пытаются это сделать.

y1978 13.09.2018 12:14

Другие вопросы по теме