So beheben Sie den Fehler „Verhindern eines möglichen Versuchs, Benutzer aufzuzählen“ (2 einfache Möglichkeiten)

Sind Sie besorgt, dass Hacker versuchen, Benutzernamen auf Ihrer WordPress-Site zu entdecken, um sie zu hacken?

Wahrscheinlich nicht Ihr erster Instinkt, oder?

Aber hier ist ein Realitätscheck: Das Durchsuchen Ihrer Website nach Benutzernamen ist eine weit verbreitete Taktik von Hackern.

Sobald Hacker einen gültigen Benutzernamen gefunden haben, müssen sie nur noch das Passwort erraten, um Zugriff auf Ihre Website zu erhalten. Hacker verwenden dann einen sogenannten „Brute-Force-Angriff“, um das richtige Passwort für Ihr WordPress-Dashboard zu erraten.

Als nächstes übernehmen sie die volle Kontrolle über Ihre Website und richten Chaos an. Hacker stehlen Daten, leiten Besucher um und spammen Kunden zu, neben einer langen Liste anderer böswilliger Aktivitäten.

Aber keine Sorge, denn Sie können verhindern, dass Hacker Benutzernamen entdecken, indem Sie Maßnahmen gegen die Schwachstelle bei der Benutzeraufzählung ergreifen.

In diesem Leitfaden erfahren Sie, was die Benutzeraufzählung ist und wie Sie verhindern können, dass sie von Hackern ausgenutzt wird.

TL;DR : Die Benutzeraufzählung kann die Chancen eines erfolgreichen Brute-Force-Angriffs auf Ihre WordPress-Site erhöhen. Um dies zu verhindern, können Sie das MalCare Security Plugin installieren. Es erkennt und blockiert automatisch Brute-Force-Versuche auf Ihrer Website.

[lwptoc skipHeadingLevel=“h1,h3,h4,h5,h6″ skipHeadingText=“Abschließende Gedanken“]

Was ist Benutzeraufzählung?

Die Aufzählung von Benutzernamen ist der Prozess, durch den Hacker Benutzer einer WordPress-Website finden können. Sie scannen die Website und sammeln Benutzerinformationen (wie Name, E-Mail-ID), mit denen sie versuchen, sich auf der Website anzumelden.

Hinweis: Mit Benutzer meinen wir nicht einen Besucher oder Kunden. Wir meinen Benutzer, die Zugriff auf Ihr WordPress-Admin-Panel haben.

Warum ist das ein Problem? Hacker verwenden eine Technik namens Brute-Force-Angriffe, bei der sie versuchen, Ihren Benutzernamen und Ihr Passwort zu erraten. Sie programmieren Bots so, dass sie in wenigen Sekunden Tausende von Kombinationen aus Benutzernamen und Passwörtern eingeben.

Aber wenn sie Ihren Benutzernamen kennen, bedeutet dies, dass sie nur einen Schritt davon entfernt sind, Zugriff auf Ihre Website zu erhalten.

Hier kommt die Benutzeraufzählung ins Spiel. Hacker versuchen, den Benutzernamen herauszufinden, indem sie sich Autorennamen und E-Mail-Adressen auf Ihrer Website ansehen.

Es gibt verschiedene Möglichkeiten, wie Hacker Benutzernamen auf Ihrer Website finden können. Es ist wichtig, die Methoden zu verstehen, die Hacker verwenden, um Maßnahmen gegen die Benutzeraufzählung zu implementieren.

Arten der Benutzeraufzählung

Benutzernamen werden in der Datenbank Ihrer WordPress-Site gespeichert. Hacker müssen jedoch nicht unbedingt auf Ihre Datenbank zugreifen, um diese Informationen herauszufinden.

Wir beschreiben zwei Haupttechniken, die Hacker verwenden, um Benutzer auf WordPress-Sites aufzuzählen:

1. Verwenden von Autorenarchiven

Jedem Benutzer auf Ihrer WordPress-Seite wird eine eindeutige ID zugewiesen. Diese ID wird von WordPress verwendet, um das entsprechende Benutzerkonto in der Datenbank zu referenzieren.

Als Nächstes speichert WordPress diese Daten in einem Autorenarchiv, wenn die Benutzer Ihrer Website Seiten und Beiträge erstellen.

Das Autorenarchiv kategorisiert Seiten und Beiträge grundsätzlich danach, wer sie erstellt hat.

Hacker können Skripte auf Ihrer Website ausführen, um das Autorenarchiv zu laden, das Benutzer-IDs preisgeben kann. Als nächstes führen sie weitere Skripte aus, um den mit der Benutzer-ID verknüpften Benutzernamen herauszufinden.

2. Verwendung des Anmeldeformulars

Wenn Sie auf der WordPress-Anmeldeseite einen ungültigen Benutzernamen eingeben , wird diese Eingabeaufforderung angezeigt:

Wenn Sie dagegen einen gültigen Benutzernamen und ein falsches Passwort eingeben , zeigt WordPress diese Eingabeaufforderung an:

Dies zeigt an, dass der Benutzername „[email protected]“ ein gültiger Benutzername ist und nur das Passwort falsch ist.

Hacker verwenden Tools wie Burp Intruder, um eine Liste möglicher Benutzernamen zu laden, um einen gültigen zu finden, indem sie diese Antwort von WordPress untersuchen.

Mit diesen Methoden können Hacker Ihren Benutzernamen entdecken und das bringt sie dem Hacken Ihrer Website näher. Sie können Sicherheitsmaßnahmen implementieren, um sicherzustellen, dass dies nicht geschieht.

Verhindern eines möglichen Versuchs, Benutzer aufzuzählen

Sie können die Benutzeraufzählung stoppen, indem Sie entweder ein Plugin verwenden oder manuell ein Code-Snippet in Ihre WordPress-Dateien einfügen. Wir empfehlen die manuelle Methode nicht, da sie extrem riskant ist. Der kleinste Fehler kann Ihre Website beschädigen. Wir werden jedoch die Schritte für beide detailliert beschreiben.

1. Installieren Sie das Stop User Enumeration Plugin

Dies ist der einfachste und effizienteste Weg, um die Benutzeraufzählung auf Ihrer WordPress-Site zu stoppen. Sie können dieses Stop User Enumeration Plugin auf Ihrer Website aus dem WordPress-Repository installieren.

Wie der Name schon sagt, soll das Plugin verhindern, dass Hacker Ihre Website nach Benutzernamen durchsuchen.

Es hat auch eine raffinierte Funktion zum Protokollieren von IP-Adressen, die versuchen, Ihre Benutzer aufzuzählen. Eine IP-Adresse ist ein eindeutiger Code, der einem mit dem Internet verbundenen Gerät zugewiesen wird. WordPress-Firewall-Plugins wie MalCare wurden entwickelt, um IP-Adressen zu erkennen, die böswillige Aktivitäten ausführen, und sie am Zugriff auf Ihre Website zu hindern.

Wenn auf Ihrer Website eine Firewall installiert ist, können Sie das IP-Adressprotokoll, das vom Plug-in „Stop User Enumeration“ bereitgestellt wird, mit denen vergleichen, die Ihre Firewall blockiert. Falls es nicht blockiert wird, erlauben Ihnen die meisten Firewalls, die IP-Adresse manuell einzugeben und sie auf die schwarze Liste zu setzen. Die Firewall verhindert dann automatisch, dass die IP-Adresse jemals wieder auf Ihre Website zugreift.

2. Manuelles Einfügen von Code zum Stoppen der Benutzeraufzählung

HINWEIS: Denken Sie daran, dass wir diese Methode NICHT EMPFEHLEN. Falls Sie fortfahren möchten, empfehlen wir Ihnen, ein Backup Ihrer WordPress-Site zu erstellen. Wenn etwas schief geht, können Sie Ihre Website wieder normalisieren.

Schritt 1: Melden Sie sich bei Ihrem Hosting-Konto an, gehen Sie zu cPanel > File Manager . (Sie können auch über FTP wie FileZilla auf Ihre Dateien zugreifen.)

Schritt 2: Öffne den Ordner public_html , gehe zu wp-content und greife auf den Ordner deines Themes zu. Denken Sie daran, das Thema auszuwählen, das auf Ihrer Website aktiv ist.

Schritt 3: Hier finden Sie die function.php- Datei Ihres Themes. Klicken Sie mit der rechten Maustaste auf diese Datei und bearbeiten Sie sie.

Schritt 4: Fügen Sie den folgenden Code ein:

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

Speichern Sie die Änderungen und schließen Sie die Datei. Die Benutzeraufzählung sollte auf Ihrer Website blockiert werden.

Damit beenden wir den Schutz Ihrer Website vor Benutzeraufzählung. Wir empfehlen außerdem dringend, einen Benutzernamen zu verwenden, der auf Ihrer Website nicht ohne Weiteres verfügbar ist. Wenn Sie beispielsweise Teammitglieder und Blog-Autorennamen auf Ihrer Website anzeigen lassen, wäre es ratsam, einen anderen Administratornamen beizubehalten.

Abschließende Gedanken

Indem Sie die Benutzeraufzählung auf der WordPress-Site blockieren, verringern Sie die Wahrscheinlichkeit von Brute-Force-Angriffen. Hacker zielen normalerweise auf Websites ab, die leicht zu hacken sind. Ihre Bots werden ein paar erfolglose Versuche unternehmen und sich von Ihrer Website entfernen.

Brute-Force-Angriffe sind jedoch nur eine der Sicherheitsbedrohungen, vor denen Sie Ihre WordPress-Site vor Hackern schützen müssen.

Wir empfehlen dringend, ein Sicherheits-Plugin zu aktivieren, das Ihre Website regelmäßig scannt, um sicherzustellen, dass sie sauber und frei von Malware ist. Es wird auch Hacker proaktiv daran hindern, auf Ihre Website zuzugreifen.

Sie können Ihre Website beruhigt betreiben, da Sie wissen, dass Ihre Website gesichert ist.

Schützen Sie Ihre WordPress-Site mit MalCare!