Sichern von Administratorkonten - Erkennung von Benutzernamen

9

Wir haben seit einigen Wochen Limit-Anmeldeversuche installiert, und die Anzahl der Brute-Force-Versuche, die bei wp-admin / wp-login auftreten, ist ziemlich erstaunlich. Anfangs waren alle Versuche mit dem Benutzernamen "Admin", der auf unserer Website nicht vorhanden ist, daher empfand ich dies als Ärger, aber nicht als große Bedrohung. Jetzt treten jedoch Sperren bei anderen benannten Administratorbenutzerkonten auf, und ich bin völlig ratlos darüber, wie die Angreifer die Benutzernamen dieser Konten ableiten.

Kein Inhalt unserer Website wurde von jemandem verfasst, und ich kann keinen anderen Ort auf unserer Website finden, an dem diese Benutzernamen öffentlich veröffentlicht werden.

Irgendeine Idee, wie Benutzernamen auffindbar sein könnten?

user20814
quelle

Antworten:

9

Wenn Sie hübsche Permalinks aktiviert haben, leitet WordPress alle Aufrufe /?author=1mit dem Benutzernamen an das Autorenarchiv weiter, z /author/bob/. Und dann kennt der Besucher den Namen des Autors.

Verwenden Sie die Anmeldesperre , damit das Plugin keine Konten zurücksetzt und IP-Adressen blockiert.

Fuxia
quelle
"Anmeldeversuche einschränken verhindert, dass eine Internetadresse weitere Versuche unternimmt, nachdem ein bestimmtes Limit für Wiederholungsversuche erreicht wurde ..." Ich bin nicht mit dem Plugin verbunden, verwende es jedoch, und genau das scheint es zu tun. Die mit einer fehlgeschlagenen Anmeldung verknüpfte IP-Adresse wird protokolliert und die Adresse wird blockiert, wenn ein konfigurierbares maximales Versuchslimit erreicht wird. Außerdem wurde "Login Lockdown" seit zwei Jahren nicht mehr aktualisiert.
s_ha_dum
2

Clevere Kerle. Ich denke, ich werde nur Anfragen an /? Author = umleiten. Klingt vernünftig? Etwas wie:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
user20814
quelle
Das wäre Sicherheit durch Dunkelheit . Es ist besser, Ihre Site so zu konfigurieren, dass es keine Rolle spielt, ob ein Besucher Ihren Benutzernamen kennt. Die LLA-Plugins brechen diese wesentliche Regel. gehe nicht den gleichen Weg.
Fuxia
@toscho kannst du das näher erläutern? Ich glaube nicht, dass das LLA-Plugin diese Regel vollständig verletzt. Es funktioniert, indem eine IP-Sperre eingeleitet wird, nachdem x Anmeldeversuche fehlgeschlagen sind. Es funktioniert auch dann, wenn ein Angreifer den Benutzernamen kennt. Was kann man noch tun? Passwort schützen wp-admin ... Whitelist nur bestimmte IPs mit .htaccess ... sicherstellen, dass alle Benutzer sichere Passwörter haben ...? Unabhängig von den oben genannten Punkten gefällt mir die oben genannte Umleitungsoption zum Schutz von Gürteln und Hosenträgern immer noch.
user20814
Vielleicht erinnere ich mich daran falsch. Ich hatte den Eindruck, dass ein bestimmter Benutzer nach einigen fehlgeschlagenen Anmeldeversuchen gesperrt wird.
Fuxia
Mist, du hast recht. Ich habe falsch geschrieben. Die Sperre basiert auf dem Benutzer.
user20814