Comment réparer l'erreur « Empêcher une tentative possible d'énumérer les utilisateurs » (2 façons simples)

Craignez-vous que des pirates tentent de découvrir des noms d'utilisateur sur votre site WordPress afin de le pirater ?

Ce n'est probablement pas votre premier réflexe, n'est-ce pas ?

Mais voici un rappel à la réalité : Sonder votre site pour trouver des noms d'utilisateur est une tactique assez courante utilisée par les pirates.

Une fois que les pirates ont trouvé un nom d'utilisateur valide, ils n'ont qu'à deviner le mot de passe pour accéder à votre site. Les pirates utiliseront alors ce qu'on appelle une "attaque par force brute" pour deviner le bon mot de passe pour votre tableau de bord WordPress.

Ensuite, ils prennent le contrôle total de votre site Web et font des ravages. Les pirates volent des données, redirigent les visiteurs et spamment les clients, parmi une longue liste d'autres activités malveillantes.

Mais ne vous inquiétez pas car vous pouvez empêcher les pirates de découvrir les noms d'utilisateur en prenant des mesures contre la vulnérabilité d'énumération des utilisateurs.

Dans ce guide, vous apprendrez ce qu'est l'énumération des utilisateurs et comment empêcher qu'elle ne soit exploitée par des pirates.

TL;DR : L'énumération des utilisateurs peut augmenter les chances de réussite d'une attaque par force brute sur votre site WordPress. Pour éviter cela, vous pouvez installer le plugin de sécurité MalCare. Il détectera et bloquera automatiquement les tentatives de force brute sur votre site.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Réflexions finales”]

Qu'est-ce que l'énumération des utilisateurs ?

L'énumération des noms d'utilisateur est le processus par lequel les pirates peuvent trouver les utilisateurs d'un site Web WordPress. Ils analysent le site Web et collectent des informations sur l'utilisateur (comme le nom, l'identifiant de messagerie) qu'ils utilisent pour essayer de se connecter au site.

Remarque : Par utilisateur, nous n'entendons pas un visiteur ou un client. Nous entendons les utilisateurs qui ont accès à votre panneau d'administration WordPress.

Pourquoi c'est un problème? Les pirates utilisent une technique appelée attaques par force brute dans laquelle ils tentent de deviner votre nom d'utilisateur et votre mot de passe. Ils programment des robots pour saisir des milliers de combinaisons de noms d'utilisateur et de mots de passe en quelques secondes.

Mais s'ils connaissaient votre nom d'utilisateur, cela signifie qu'ils n'étaient qu'à un pas d'accéder à votre site.

C'est là qu'intervient l'énumération des utilisateurs. Les pirates tentent de déterminer le nom d'utilisateur en examinant les noms des auteurs et les adresses e-mail sur votre site Web.

Les pirates peuvent trouver des noms d'utilisateur sur votre site de différentes manières. Il est important de comprendre les méthodes utilisées par les pirates afin de mettre en œuvre des mesures contre l'énumération des utilisateurs.

Types d'énumération d'utilisateurs

Les noms d'utilisateur sont stockés dans la base de données de votre site WordPress. Cependant, les pirates n'ont pas nécessairement besoin d'accéder à votre base de données pour trouver ces informations.

Nous détaillons deux principales techniques utilisées par les pirates pour énumérer les utilisateurs sur les sites WordPress :

1. Utilisation des archives d'auteur

Chaque utilisateur de votre site WordPress a un identifiant unique qui lui est attribué. Cet ID est utilisé par WordPress pour référencer le compte utilisateur correspondant dans la base de données.

Ensuite, lorsque les utilisateurs de votre site Web créent des pages et des publications, WordPress stocke ces données dans une archive d'auteur.

L'archive de l'auteur catégorise essentiellement les pages et les publications en fonction de leur créateur.

Les pirates peuvent exécuter des scripts sur votre site pour charger l'archive de l'auteur qui peut révéler les identifiants des utilisateurs. Ensuite, ils exécutent plus de scripts pour trouver le nom d'utilisateur lié à l'ID utilisateur.

2. Utilisation du formulaire de connexion

Lorsque vous entrez un nom d'utilisateur invalide sur la page de connexion de WordPress, il affiche cette invite :

Alors que si vous entrez un nom d'utilisateur valide et un mot de passe incorrect , WordPress affiche cette invite :

Cela indique que le nom d'utilisateur '[email protected]' est un nom d'utilisateur valide et que seul le mot de passe est incorrect.

Les pirates utilisent des outils tels que Burp Intruder pour charger une liste de noms d'utilisateur possibles afin d'en trouver un valide en examinant cette réponse de WordPress.

En utilisant ces méthodes, les pirates peuvent découvrir votre nom d'utilisateur, ce qui les rapproche du piratage de votre site Web. Vous pouvez mettre en place des mesures de sécurité pour vous assurer que cela ne se produise pas.

Empêcher une éventuelle tentative d'énumération d'utilisateurs

Vous pouvez arrêter l'énumération des utilisateurs en utilisant un plugin ou en insérant manuellement un extrait de code dans vos fichiers WordPress. Nous ne recommandons pas la méthode manuelle car elle est extrêmement risquée. Le moindre faux pas peut casser votre site Web. Cependant, nous détaillerons les étapes pour les deux.

1. Installez le plug-in Stop User Enumeration

C'est le moyen le plus simple et le plus efficace d'arrêter l'énumération des utilisateurs sur votre site WordPress. Vous pouvez installer ce plug-in Stop User Enumeration sur votre site à partir du référentiel WordPress.

Comme son nom l'indique, le plugin est conçu pour empêcher les pirates d'analyser votre site à la recherche de noms d'utilisateur.

Il dispose également d'une fonctionnalité astucieuse de journalisation des adresses IP qui tentent d'énumérer vos utilisateurs. Une adresse IP est un code unique attribué à un appareil connecté à Internet. Les plugins WordPress Firewall comme MalCare sont conçus pour détecter les adresses IP qui mènent des activités malveillantes et les empêchent d'accéder à votre site.

Si vous avez un pare-feu installé sur votre site, vous pouvez vérifier le journal des adresses IP fourni par le plug-in Stop User Enumeration avec ceux que votre pare-feu bloque. S'il ne le bloque pas, la plupart des pare-feu vous permettent de saisir manuellement l'adresse IP et de la mettre sur liste noire. Le pare-feu empêchera alors automatiquement l'adresse IP d'accéder à nouveau à votre site.

2. Insertion manuelle du code pour arrêter l'énumération des utilisateurs

REMARQUE : N'oubliez pas que nous NE RECOMMANDONS PAS d'utiliser cette méthode. Au cas où vous voudriez continuer, nous vous conseillons de faire une sauvegarde de votre site WordPress. En cas de problème, vous pouvez restaurer votre site Web à la normale.

Étape 1 : Connectez-vous à votre compte d'hébergement, accédez à cPanel > Gestionnaire de fichiers . (Vous pouvez également accéder à vos fichiers en utilisant un FTP comme FileZilla.)

Étape 2 : Ouvrez le dossier public_html , accédez à wp-content et accédez au dossier de votre thème . N'oubliez pas de choisir le thème qui est actif sur votre site.

Étape 3 : Ici, vous pouvez trouver le fichier function.php de votre thème. Cliquez avec le bouton droit et modifiez ce fichier.

Étape 4 : Insérez le code suivant :

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

Enregistrez les modifications et fermez le fichier. L'énumération des utilisateurs doit être bloquée sur votre site Web.

Avec cela, nous arrivons à la fin de la protection de votre site Web contre l'énumération des utilisateurs. Nous vous recommandons également fortement d'utiliser un nom d'utilisateur qui n'est pas facilement disponible sur votre site. Par exemple, si vous avez des membres d'équipe et des noms d'auteurs de blog affichés sur votre site, il serait judicieux de conserver un nom d'administrateur différent.

Dernières pensées

En bloquant l'énumération des utilisateurs dans le site WordPress, vous réduisez les risques d'attaques par force brute. Les pirates ciblent généralement les sites faciles à pirater. Leurs robots feront quelques tentatives infructueuses et quitteront votre site.

Cependant, les attaques par force brute ne sont qu'une des menaces de sécurité contre lesquelles vous devez protéger votre site WordPress contre les pirates.

Nous vous recommandons fortement d'activer un plugin de sécurité qui analysera régulièrement votre site pour s'assurer qu'il est propre et exempt de logiciels malveillants. Il empêchera également de manière proactive les pirates d'accéder à votre site Web.

Vous pouvez exploiter votre site en toute tranquillité d'esprit en sachant que votre site Web est sécurisé.

Protégez votre site WordPress avec MalCare !