С прошлой недели я продолжаю получать предупреждения о неудачных попытках входа на мой сайт WordPress.
Первые пару дней злоумышленник использовал неправильное имя пользователя и впоследствии был заблокирован после 3 попыток. Я использую плагины Sucuri Free и WP-Security. В последнем есть функция блокировки входа в систему.
Мое удивление произошло, когда через пару дней злоумышленник нашел и использовал мое имя пользователя. Я немедленно изменил его на новое имя пользователя, думая, что буду в безопасности. Я также использовал большинство параметров защиты в обоих плагинах. Я специально проверил, что строка ? author = n, не дает никаких результатов на моем веб-сайте.
Тем не менее, сегодня я получил еще 3 предупреждения о том, что кто-то пытался войти в систему с этим новым именем пользователя, что означает, что я заблокирован на моем собственном сайте на 24 часа.
Это заставляет меня задуматься:
а) как кто-то может найти мое имя пользователя?
б) есть ли какой-либо другой плагин, например cerber security, который предотвращает эти эксплойты?
в) есть ли какое-нибудь правило, которое я могу добавить в htaccess? (хотя я считаю, что в суури и wp-security добавлено несколько правил)
огромное спасибо!
список пользователей
Пользователь может указать ваши имена пользователей, используя:
yoursite.com?author=1
Где ID - это user_id.
Вы можете предотвратить это, обнаружив страницу автора и перенаправив ее, например, (вставьте свою тему function.php
):
// Disable access to author page
function remove_author_pages_page() {
global $wp_query;
if ( is_author() ) {
$wp_query->set_404();
status_header(404);
wp_redirect(get_option('home'));
}
}
add_action( 'template_redirect', 'remove_author_pages_page' );
Найдите имя пользователя от wp-admin
function.php
, чтобы предотвратить появление сообщений об ошибках входа в систему wp-admin, содержащих какую-либо информацию.код:
function no_wordpress_errors() {
return '<strong>Error</strong>: check your logins';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
предотвратить брутфорс wp-admin
Это решение, которое мне очень нравится:
Некоторые другие подключаемые модули (например, Wordfence) также обеспечивают некоторую безопасность, но по мере их достижения злоумышленник использует гораздо больше ресурсов. Но для его реализации требуется меньше технических знаний.
спасибо, но, как я уже упоминал в своем сообщении, строка «? author = 1» не дает никаких результатов (не показывает мое имя пользователя). Я считаю, что из-за плагинов Sucuri или WP-безопасности. Так что я предполагаю, что есть другой способ, которым они пытаются это сделать.