Cara Memperbaiki Kesalahan “Mencegah Kemungkinan Upaya Menghitung Pengguna” (2 Cara Mudah)

Apakah Anda khawatir peretas mencoba menemukan nama pengguna di situs WordPress Anda untuk meretasnya?

Mungkin bukan insting pertama Anda, bukan?

Tapi inilah kenyataannya: Menggali situs Anda untuk menemukan nama pengguna adalah taktik yang cukup umum digunakan oleh peretas.

Setelah peretas menemukan nama pengguna yang valid, mereka hanya perlu menebak kata sandi untuk mendapatkan akses ke situs Anda. Peretas kemudian akan menggunakan apa yang disebut 'Brute Force Attack' untuk menebak kata sandi yang tepat ke dasbor WordPress Anda.

Selanjutnya, mereka mengambil kendali penuh atas situs web Anda dan mendatangkan malapetaka. Peretas mencuri data, mengalihkan pengunjung, dan mengirim spam ke pelanggan, di antara daftar panjang aktivitas berbahaya lainnya.

Namun jangan khawatir karena Anda dapat mencegah peretas menemukan nama pengguna dengan mengambil tindakan terhadap kerentanan pencacahan pengguna.

Dalam panduan ini, Anda akan mempelajari apa itu enumerasi pengguna dan cara mencegahnya agar tidak dieksploitasi oleh peretas.

TL; DR : Pencacahan pengguna dapat meningkatkan kemungkinan serangan brute force yang berhasil di situs WordPress Anda. Untuk mencegahnya, Anda dapat menginstal MalCare Security Plugin. Ini akan mendeteksi dan secara otomatis memblokir upaya kekerasan di situs Anda.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Final Thoughts”]

Apa itu Enumerasi Pengguna?

Pencacahan nama pengguna adalah proses di mana peretas dapat menemukan pengguna situs web WordPress. Mereka memindai situs web dan mengumpulkan informasi pengguna (seperti nama, ID email) yang mereka gunakan untuk mencoba masuk ke situs.

Catatan: Yang kami maksud dengan pengguna bukan pengunjung atau pelanggan. Yang kami maksud adalah pengguna yang memiliki akses ke panel admin WordPress Anda.

Mengapa ini menjadi masalah? Peretas menggunakan teknik yang disebut serangan brute force di mana mereka mencoba menebak nama pengguna dan kata sandi Anda. Mereka memprogram bot untuk memasukkan ribuan kombinasi nama pengguna dan kata sandi dalam beberapa detik.

Tetapi jika mereka mengetahui nama pengguna Anda, itu berarti mereka hanya selangkah lagi untuk mendapatkan akses ke situs Anda.

Di sinilah enumerasi pengguna masuk. Peretas mencoba mencari tahu nama pengguna dengan melihat nama penulis dan alamat email di situs web Anda.

Ada berbagai cara yang digunakan peretas untuk menemukan nama pengguna di situs Anda. Penting untuk memahami metode yang digunakan peretas untuk menerapkan langkah-langkah terhadap pencacahan pengguna.

Jenis Pencacahan Pengguna

Nama pengguna disimpan di database situs WordPress Anda. Namun, peretas tidak harus mengakses database Anda untuk mengetahui informasi ini.

Kami merinci dua teknik utama yang digunakan peretas untuk menghitung pengguna di situs WordPress:

1. Menggunakan Arsip Penulis

Setiap pengguna di situs WordPress Anda memiliki ID unik yang diberikan kepada mereka. ID ini digunakan oleh WordPress untuk mereferensikan akun pengguna yang sesuai di database.

Selanjutnya, saat pengguna situs web Anda membuat halaman dan postingan, WordPress menyimpan data ini di arsip penulis.

Arsip penulis pada dasarnya mengkategorikan halaman dan posting menurut siapa yang membuatnya.

Peretas dapat menjalankan skrip di situs Anda untuk memuat arsip penulis yang dapat mengungkap ID pengguna. Selanjutnya, mereka menjalankan lebih banyak skrip untuk mengetahui nama pengguna yang ditautkan ke ID pengguna.

2. Menggunakan Formulir Login

Saat Anda memasukkan nama pengguna yang tidak valid di halaman login WordPress, prompt ini akan ditampilkan:

Sedangkan jika Anda memasukkan nama pengguna yang valid dan kata sandi yang salah , WordPress akan menampilkan prompt ini:

Ini menandakan bahwa username '[email protected]' adalah username yang valid dan hanya password yang salah.

Peretas menggunakan alat seperti Burp Intruder untuk memuat daftar kemungkinan nama pengguna untuk menemukan nama pengguna yang valid dengan memeriksa respons ini dari WordPress.

Dengan menggunakan metode ini, peretas dapat menemukan nama pengguna Anda dan ini membuat mereka semakin dekat untuk meretas situs web Anda. Anda dapat menerapkan langkah-langkah keamanan untuk memastikan hal ini tidak terjadi.

Mencegah Kemungkinan Mencoba Menghitung Pengguna

Anda dapat menghentikan pencacahan pengguna baik dengan menggunakan plugin atau dengan memasukkan potongan kode secara manual ke dalam file WordPress Anda. Kami tidak merekomendasikan cara manual karena sangat beresiko. Salah langkah sekecil apa pun dapat merusak situs web Anda. Namun, kami akan merinci langkah-langkah untuk keduanya.

1. Instal Plugin Stop User Enumeration

Ini adalah cara termudah dan paling efisien untuk menghentikan pencacahan pengguna di situs WordPress Anda. Anda dapat menginstal Plugin Stop User Enumeration ini di situs Anda dari repositori WordPress.

Seperti namanya, plugin ini dirancang untuk mencegah peretas memindai situs Anda untuk mencari nama pengguna.

Ini juga memiliki fitur bagus untuk mencatat alamat IP yang mencoba menghitung pengguna Anda. Alamat IP adalah kode unik yang diberikan ke perangkat yang terhubung ke internet. Plugin Firewall WordPress seperti MalCare dirancang untuk mendeteksi alamat IP yang melakukan aktivitas berbahaya dan memblokirnya agar tidak dapat mengakses situs Anda.

Jika Anda memasang firewall di situs Anda, Anda dapat memverifikasi silang log alamat IP yang disediakan oleh plugin Stop User Enumeration terhadap yang diblokir oleh firewall Anda. Jika tidak memblokirnya, sebagian besar firewall memungkinkan Anda memasukkan alamat IP secara manual dan memasukkannya ke dalam daftar hitam. Firewall kemudian akan secara otomatis mencegah alamat IP mengakses situs Anda lagi.

2. Memasukkan Kode Secara Manual Untuk Menghentikan Pencacahan Pengguna

CATATAN: Ingat, kami TIDAK MENYARANKAN menggunakan metode ini. Jika Anda ingin melanjutkan, kami menyarankan Anda untuk mengambil cadangan situs WordPress Anda. Jika terjadi kesalahan, Anda dapat memulihkan situs web Anda kembali normal.

Langkah 1: Masuk ke akun hosting Anda, buka cPanel > File Manager . (Anda juga dapat mengakses file Anda menggunakan FTP seperti FileZilla.)

Langkah 2: Buka folder public_html , buka wp-content dan akses folder tema Anda. Ingatlah untuk memilih tema yang aktif di situs Anda.

Langkah 3: Di sini, Anda dapat menemukan file function.php tema Anda. Klik kanan dan edit file ini.

Langkah 4: Masukkan kode berikut:

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

Simpan perubahan dan tutup file. Pencacahan pengguna harus diblokir di situs web Anda.

Dengan itu, kami mengakhiri perlindungan situs web Anda dari pencacahan pengguna. Kami juga sangat menyarankan penggunaan nama pengguna yang tidak tersedia di situs Anda. Misalnya, jika Anda memiliki anggota tim dan nama penulis blog yang ditampilkan di situs Anda, sebaiknya gunakan nama admin yang berbeda.

Pikiran Akhir

Dengan memblokir pencacahan pengguna di situs WordPress, Anda mengurangi kemungkinan serangan brute force. Peretas biasanya menargetkan situs yang mudah diretas. Bot mereka akan melakukan beberapa upaya yang gagal dan beralih dari situs Anda.

Namun, serangan brute force hanyalah salah satu ancaman keamanan yang Anda perlukan untuk melindungi situs WordPress Anda dari peretas.

Kami sangat menyarankan untuk mengaktifkan plugin keamanan yang akan memindai situs Anda secara teratur untuk memastikannya bersih dan bebas malware. Itu juga akan secara proaktif memblokir peretas dari mengakses situs web Anda.

Anda dapat mengoperasikan situs Anda dengan tenang karena mengetahui situs web Anda aman.

Lindungi Situs WordPress Anda Dengan MalCare!