• Homepage
  • Articoli
  • Guida
  • Come correggere l'errore "Prevenire il possibile tentativo di enumerare gli utenti" (2 semplici modi)

Come correggere l'errore "Prevenire il possibile tentativo di enumerare gli utenti" (2 semplici modi)

Pubblicato: 2023-04-19

Sei preoccupato che gli hacker stiano tentando di scoprire i nomi utente sul tuo sito WordPress per hackerarlo?

Probabilmente non è il tuo primo istinto, giusto?

Ma ecco un controllo della realtà: sondare il tuo sito per trovare nomi utente è una tattica abbastanza comune utilizzata dagli hacker.

Una volta che gli hacker trovano un nome utente valido, devono solo indovinare la password per accedere al tuo sito. Gli hacker useranno quindi quello che viene chiamato un "Brute Force Attack" per indovinare la password corretta per la dashboard di WordPress.

Successivamente, assumono il pieno controllo del tuo sito Web e provocano il caos. Gli hacker rubano dati, reindirizzano i visitatori e inviano spam ai clienti, tra un lungo elenco di altre attività dannose.

Ma non preoccuparti perché puoi impedire agli hacker di scoprire i nomi utente adottando misure contro la vulnerabilità dell'enumerazione degli utenti.

In questa guida imparerai cos'è l'enumerazione degli utenti e come impedire che venga sfruttata dagli hacker.

TL; DR : l'enumerazione degli utenti può aumentare le possibilità di successo di un attacco di forza bruta sul tuo sito WordPress. Per evitare ciò, puoi installare MalCare Security Plugin. Rileverà e bloccherà automaticamente i tentativi di forza bruta sul tuo sito.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Riflessioni finali”]

Che cos'è l'enumerazione degli utenti?

L'enumerazione del nome utente è il processo attraverso il quale gli hacker possono trovare gli utenti di un sito Web WordPress. Eseguono la scansione del sito Web e raccolgono informazioni sull'utente (come nome, ID e-mail) che utilizzano per provare ad accedere al sito.

Nota: per utente non intendiamo un visitatore o un cliente. Intendiamo gli utenti che hanno accesso al tuo pannello di amministrazione di WordPress.

Perché questo è un problema? Gli hacker utilizzano una tecnica chiamata attacchi di forza bruta in cui tentano di indovinare il nome utente e la password. Programmano i robot per inserire migliaia di combinazioni di nomi utente e password in pochi secondi.

Ma se conoscevano il tuo nome utente, significa che sono solo a un passo dall'ottenere l'accesso al tuo sito.

È qui che entra in gioco l'enumerazione degli utenti. Gli hacker cercano di capire il nome utente guardando i nomi degli autori e gli indirizzi e-mail sul tuo sito web.

Esistono diversi modi in cui gli hacker possono trovare i nomi utente sul tuo sito. È importante comprendere i metodi utilizzati dagli hacker per implementare misure contro l'enumerazione degli utenti.

Tipi di enumerazione degli utenti

I nomi utente sono memorizzati nel database del tuo sito WordPress. Tuttavia, gli hacker non devono necessariamente accedere al tuo database per scoprire queste informazioni.

Descriviamo in dettaglio due tecniche principali utilizzate dagli hacker per enumerare gli utenti sui siti WordPress:

1. Utilizzo degli archivi degli autori

A ogni utente del tuo sito WordPress è assegnato un ID univoco. Questo ID viene utilizzato da WordPress per fare riferimento all'account utente corrispondente nel database.

Successivamente, mentre gli utenti del tuo sito Web creano pagine e post, WordPress memorizza questi dati in un archivio dell'autore.

L'archivio dell'autore classifica fondamentalmente pagine e post in base a chi lo ha creato.

Gli hacker possono eseguire script sul tuo sito per caricare l'archivio dell'autore che potrebbe rivelare gli ID utente. Successivamente, eseguono più script per scoprire il nome utente collegato all'ID utente.

2. Utilizzo del modulo di accesso

Quando inserisci un nome utente non valido nella pagina di accesso di WordPress, viene visualizzato questo messaggio:

login wordpress

Invece, se inserisci un nome utente valido e una password errata , WordPress visualizza questo messaggio:

wordpress-login-indica-password-errata

Ciò indica che il nome utente '[email protected]' è un nome utente valido e solo la password non è corretta.

Gli hacker utilizzano strumenti come Burp Intruder per caricare un elenco di possibili nomi utente per trovarne uno valido esaminando questa risposta da WordPress.

Utilizzando questi metodi, gli hacker possono scoprire il tuo nome utente e questo li avvicina all'hacking del tuo sito web. Puoi implementare misure di sicurezza per garantire che ciò non accada.

Prevenire il possibile tentativo di enumerare gli utenti

Puoi interrompere l'enumerazione degli utenti utilizzando un plug-in o inserendo manualmente uno snippet di codice nei tuoi file WordPress. Non consigliamo il metodo manuale perché è estremamente rischioso. Il minimo passo falso può danneggiare il tuo sito web. Tuttavia, descriveremo in dettaglio i passaggi per entrambi.

1. Installa il plug-in Arresta enumerazione utenti

Questo è il modo più semplice ed efficiente per interrompere l'enumerazione degli utenti sul tuo sito WordPress. Puoi installare questo plug-in Stop User Enumeration sul tuo sito dal repository di WordPress.

Come suggerisce il nome, il plug-in è progettato per impedire agli hacker di scansionare il tuo sito alla ricerca di nomi utente.

Ha anche un'elegante funzionalità di registrazione degli indirizzi IP che stanno tentando di enumerare i tuoi utenti. Un indirizzo IP è un codice univoco assegnato a un dispositivo connesso a Internet. I plug-in del firewall di WordPress come MalCare sono progettati per rilevare gli indirizzi IP che svolgono attività dannose e impedire loro di accedere al tuo sito.

Se hai un firewall installato sul tuo sito, puoi verificare in modo incrociato il registro degli indirizzi IP fornito dal plug-in Stop User Enumeration con quelli che il tuo firewall sta bloccando. Nel caso in cui non lo stia bloccando, la maggior parte dei firewall ti consente di inserire manualmente l'indirizzo IP e inserirlo nella blacklist. Il firewall impedirà quindi automaticamente all'indirizzo IP di accedere nuovamente al tuo sito.

2. Inserimento manuale del codice per interrompere l'enumerazione degli utenti

NOTA: Ricorda, NON RACCOMANDIAMO di utilizzare questo metodo. Nel caso in cui desideri procedere, ti consigliamo di eseguire un backup del tuo sito WordPress. Se qualcosa va storto, puoi ripristinare il tuo sito web alla normalità.

Passaggio 1: accedi al tuo account di hosting, vai su cPanel > File Manager . (Puoi anche accedere ai tuoi file usando un FTP come FileZilla.)

file-manager-nel-cpanel-1

Passaggio 2: apri la cartella public_html , vai su wp-content e accedi alla cartella del tuo tema . Ricorda di scegliere il tema attivo sul tuo sito.

select-theme-in-file-manager

Passaggio 3: qui puoi trovare il file function.php del tuo tema. Fare clic con il tasto destro e modificare questo file.

Passo 4: Inserisci il seguente codice:

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

Salva le modifiche e chiudi il file. L'enumerazione degli utenti dovrebbe essere bloccata sul tuo sito web.

Con ciò, arriviamo alla fine della protezione del tuo sito Web dall'enumerazione degli utenti. Ti consigliamo inoltre vivamente di utilizzare un nome utente non facilmente disponibile sul tuo sito. Ad esempio, se hai membri del team e nomi di autori di blog visualizzati sul tuo sito, sarebbe saggio mantenere un nome di amministratore diverso.

Pensieri finali

Bloccando l'enumerazione degli utenti nel sito WordPress, riduci le possibilità di attacchi di forza bruta. Gli hacker di solito prendono di mira siti facili da hackerare. I loro robot faranno alcuni tentativi falliti e passeranno dal tuo sito.

Tuttavia, gli attacchi di forza bruta sono solo una delle minacce alla sicurezza da cui è necessario proteggere il proprio sito WordPress dagli hacker.

Ti consigliamo vivamente di attivare un plug-in di sicurezza che analizzerà regolarmente il tuo sito per garantire che sia pulito e privo di malware. Inoltre, impedirà in modo proattivo agli hacker di accedere al tuo sito web.

Puoi gestire il tuo sito in tutta tranquillità sapendo che il tuo sito web è protetto.

Proteggi il tuo sito WordPress con MalCare!