كيفية إصلاح الخطأ "منع محاولة محتملة لتعداد المستخدمين" (طريقتان سهلتان)

نشرت: 2023-04-19

هل أنت قلق من أن المتسللين يحاولون اكتشاف أسماء المستخدمين على موقع WordPress الخاص بك من أجل اختراقه؟

ربما ليست غريزتك الأولى ، أليس كذلك؟

ولكن إليك اختبارًا للواقع: يعد فحص موقعك للعثور على أسماء المستخدمين أسلوبًا شائعًا يستخدمه المتسللون.

بمجرد أن يجد المتسللون اسم مستخدم صالحًا ، فإنهم يحتاجون فقط إلى تخمين كلمة المرور للوصول إلى موقعك. سيستخدم المتسللون بعد ذلك ما يسمى "هجوم القوة الغاشمة" لتخمين كلمة المرور الصحيحة للوحة معلومات WordPress الخاصة بك.

بعد ذلك ، يتحكمون بشكل كامل في موقع الويب الخاص بك وينشرون الخراب. يسرق المتسللون البيانات ، ويعيدون توجيه الزوار ، وعملاء البريد العشوائي ، من بين قائمة طويلة من الأنشطة الضارة الأخرى.

لكن لا تقلق لأنه يمكنك منع المتسللين من اكتشاف أسماء المستخدمين من خلال اتخاذ إجراءات ضد ثغرة تعداد المستخدم.

في هذا الدليل ، ستتعرف على ماهية تعداد المستخدم وكيفية منع استغلاله من قبل المتسللين.

TL ؛ DR : يمكن أن يزيد تعداد المستخدم من فرص نجاح هجوم القوة الغاشمة على موقع WordPress الخاص بك. لمنع هذا ، يمكنك تثبيت MalCare Security Plugin. سيكتشف ويحظر تلقائيًا محاولات القوة الغاشمة على موقعك.

[lwptoc skipHeadingLevel = "h1، h3، h4، h5، h6 ″ skipHeadingText =" الأفكار النهائية "]

ما هو تعداد المستخدم؟

تعداد اسم المستخدم هو العملية التي يمكن للمتسللين من خلالها العثور على مستخدمي موقع WordPress. يقومون بفحص موقع الويب وجمع معلومات المستخدم (مثل الاسم ومعرف البريد الإلكتروني) التي يستخدمونها لمحاولة تسجيل الدخول إلى الموقع.

ملاحظة: من خلال المستخدم ، لا نعني الزائر أو العميل. نعني المستخدمين الذين لديهم حق الوصول إلى لوحة إدارة WordPress الخاصة بك.

لماذا هذه مشكلة؟ يستخدم المتسللون تقنية تسمى هجمات القوة الغاشمة حيث يحاولون تخمين اسم المستخدم وكلمة المرور الخاصين بك. إنهم يبرمجون برامج الروبوت لإدخال الآلاف من مجموعات أسماء المستخدمين وكلمات المرور في بضع ثوانٍ.

ولكن إذا كانوا يعرفون اسم المستخدم الخاص بك ، فهذا يعني أنهم على بعد خطوة واحدة فقط من الوصول إلى موقعك.

هذا هو المكان الذي يأتي فيه تعداد المستخدمين. يحاول المتسللون معرفة اسم المستخدم من خلال النظر في أسماء المؤلفين وعناوين البريد الإلكتروني على موقع الويب الخاص بك.

هناك طرق مختلفة يمكن للقراصنة من خلالها العثور على أسماء المستخدمين على موقعك. من المهم فهم الأساليب التي يستخدمها المتسللون من أجل تنفيذ إجراءات ضد تعداد المستخدمين.

أنواع تعداد المستخدم

يتم تخزين أسماء المستخدمين في قاعدة بيانات موقع WordPress الخاص بك. ومع ذلك ، لا يتعين على المتسللين بالضرورة الوصول إلى قاعدة البيانات الخاصة بك لمعرفة هذه المعلومات.

نحن بالتفصيل طريقتين رئيسيتين يستخدمهما المتسللون لتعداد المستخدمين على مواقع WordPress:

1. استخدام أرشيفات المؤلف

كل مستخدم على موقع WordPress الخاص بك لديه معرف فريد مخصص له. يستخدم WordPress هذا المعرف للإشارة إلى حساب المستخدم المقابل في قاعدة البيانات.

بعد ذلك ، عندما يقوم مستخدمو موقع الويب الخاص بك بإنشاء صفحات ومنشورات ، يقوم WordPress بتخزين هذه البيانات في أرشيف المؤلف.

يصنف أرشيف المؤلف الصفحات والمشاركات بشكل أساسي وفقًا لمن قام بإنشائها.

يمكن للقراصنة تشغيل نصوص على موقعك لتحميل أرشيف المؤلف الذي قد يكشف عن معرفات المستخدم. بعد ذلك ، يقومون بتشغيل المزيد من البرامج النصية لمعرفة اسم المستخدم المرتبط بمعرف المستخدم.

2. استخدام نموذج تسجيل الدخول

عندما تقوم بإدخال اسم مستخدم غير صالح في صفحة تسجيل الدخول إلى WordPress ، فإنه يعرض هذه المطالبة:

ووردبريس تسجيل الدخول

حيث أنه إذا أدخلت اسم مستخدم صالحًا وكلمة مرور غير صحيحة ، فسيعرض WordPress هذه المطالبة:

ووردبريس تسجيل الدخول يشير إلى كلمة المرور خطأ

يشير هذا إلى أن اسم المستخدم "[email protected]" هو اسم مستخدم صالح وأن كلمة المرور فقط غير صحيحة.

يستخدم المتسللون أدوات مثل Burp Intruder لتحميل قائمة بأسماء المستخدمين المحتملة للعثور على اسم صالح من خلال فحص هذه الاستجابة من WordPress.

باستخدام هذه الأساليب ، يمكن للقراصنة اكتشاف اسم المستخدم الخاص بك وهذا يجعلهم أقرب إلى اختراق موقع الويب الخاص بك. يمكنك تنفيذ إجراءات أمنية لضمان عدم حدوث ذلك.

منع المحاولة المحتملة لتعداد المستخدمين

يمكنك إيقاف تعداد المستخدم إما باستخدام مكون إضافي أو عن طريق إدراج مقتطف من التعليمات البرمجية يدويًا في ملفات WordPress الخاصة بك. لا نوصي بالطريقة اليدوية لأنها تنطوي على مخاطرة كبيرة. أدنى خطأ يمكن أن يكسر موقع الويب الخاص بك. ومع ذلك ، سنقوم بالتفصيل الخطوات لكليهما.

1. قم بتثبيت البرنامج المساعد Stop User Enumeration

هذه هي الطريقة الأسهل والأكثر فاعلية لإيقاف تعداد المستخدم على موقع WordPress الخاص بك. يمكنك تثبيت هذا البرنامج الإضافي Stop User Enumeration Plugin على موقعك من مستودع WordPress.

كما يوحي الاسم ، تم تصميم المكون الإضافي لمنع المتسللين من فحص موقعك بحثًا عن أسماء المستخدمين.

كما أن لديها ميزة أنيقة لتسجيل عناوين IP التي تحاول تعداد المستخدمين. عنوان IP هو رمز فريد يتم تخصيصه لجهاز متصل بالإنترنت. تم تصميم المكونات الإضافية لجدار حماية WordPress مثل MalCare لاكتشاف عناوين IP التي تقوم بأنشطة ضارة ومنعها من الوصول إلى موقعك.

إذا كان لديك جدار حماية مثبت على موقعك ، فيمكنك التحقق من سجل عنوان IP المقدم من خلال المكون الإضافي Stop User Enumeration مقابل تلك التي يحظرها جدار الحماية لديك. في حالة عدم حظره ، تسمح لك معظم جدران الحماية بإدخال عنوان IP يدويًا وإدراجه في القائمة السوداء. سيقوم جدار الحماية بعد ذلك تلقائيًا بمنع عنوان IP من الوصول إلى موقعك مرة أخرى.

2. إدخال رمز يدويًا لإيقاف تعداد المستخدم

ملاحظة: تذكر ، لا نوصي باستخدام هذه الطريقة. في حالة رغبتك في المتابعة ، ننصحك بأخذ نسخة احتياطية من موقع WordPress الخاص بك. إذا حدث خطأ ما ، يمكنك استعادة موقع الويب الخاص بك إلى طبيعته.

الخطوة 1: قم بتسجيل الدخول إلى حساب الاستضافة الخاص بك ، انتقل إلى cPanel> File Manager . (يمكنك أيضًا الوصول إلى ملفاتك باستخدام FTP مثل FileZilla.)

مدير الملفات في cpanel-1

الخطوة 2: افتح المجلد public_html وانتقل إلى wp-content وقم بالوصول إلى مجلد السمة الخاص بك. تذكر أن تختار الموضوع النشط على موقعك.

حدد موضوع في ملف مدير

الخطوة 3: هنا ، يمكنك العثور على ملف function.php الخاص بالثيم الخاص بك. انقر بزر الماوس الأيمن وقم بتحرير هذا الملف.

الخطوة 4: أدخل الكود التالي:

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

احفظ التغييرات وأغلق الملف. يجب حظر تعداد المستخدم على موقع الويب الخاص بك.

بهذا نكون قد انتهينا من حماية موقع الويب الخاص بك من تعداد المستخدمين. نوصي بشدة أيضًا باستخدام اسم مستخدم غير متاح بسهولة على موقعك. على سبيل المثال ، إذا كان لديك أعضاء فريق وأسماء مؤلفي مدونة معروضة على موقعك ، فسيكون من الحكمة الاحتفاظ باسم مسؤول مختلف.

افكار اخيرة

من خلال حظر تعداد المستخدمين في موقع WordPress ، فإنك تقلل من فرص هجمات القوة الغاشمة. عادة ما يستهدف المتسللون المواقع التي يسهل اختراقها. ستقوم روبوتاتهم ببعض المحاولات الفاشلة وتنتقل من موقعك.

ومع ذلك ، فإن هجمات القوة الغاشمة ليست سوى أحد التهديدات الأمنية التي تحتاج من خلالها لحماية موقع WordPress الخاص بك من المتسللين.

نوصي بشدة بتنشيط مكون إضافي للأمان يقوم بفحص موقعك بانتظام للتأكد من أنه نظيف وخالٍ من البرامج الضارة. كما أنه سيمنع بشكل استباقي المتسللين من الوصول إلى موقع الويب الخاص بك.

يمكنك تشغيل موقعك براحة البال مع العلم أن موقع الويب الخاص بك مؤمن.

حماية موقع WordPress الخاص بك مع MalCare!