エラー「ユーザーを列挙する試みを防止する」を修正する方法 (2 つの簡単な方法)

ハッカーが WordPress サイトをハッキングするためにユーザー名を見つけようとしているのではないかと心配していますか?

おそらくあなたの最初の本能ではありませんよね？

しかし、ここで現実を確認してみましょう。ユーザー名を見つけるためにサイトを調査することは、ハッカーが使用する非常に一般的な戦術です。

ハッカーが有効なユーザー名を見つけたら、パスワードを推測するだけでサイトにアクセスできます。 ハッカーは、「ブルート フォース攻撃」と呼ばれるものを使用して、WordPress ダッシュボードへの正しいパスワードを推測します。

次に、彼らはあなたのウェブサイトを完全に支配し、大混乱を引き起こします。 ハッカーは、データを盗んだり、訪問者をリダイレクトしたり、顧客にスパムを送ったりするなど、悪意のある活動を数多く行っています。

ただし、ユーザー列挙の脆弱性に対する対策を講じることで、ハッカーがユーザー名を発見するのを防ぐことができるので、心配する必要はありません。

このガイドでは、ユーザー列挙とは何か、およびハッカーによる悪用を防ぐ方法について説明します。

TL;DR :ユーザーの列挙により、WordPress サイトでブルート フォース攻撃が成功する可能性が高くなる可能性があります。 これを防ぐには、MalCare セキュリティ プラグインをインストールします。 サイトでのブルート フォース攻撃を検出して自動的にブロックします。

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”最終的な考え”]

ユーザー列挙とは

ユーザー名の列挙は、ハッカーが WordPress Web サイトのユーザーを見つけるためのプロセスです。 彼らは Web サイトをスキャンし、ユーザー情報 (名前、電子メール ID など) を収集して、サイトへのログインを試みます。

注:ユーザーとは、訪問者や顧客を意味するものではありません。 WordPress 管理パネルにアクセスできるユーザーを意味します。

なぜこれが問題なのですか？ ハッカーはブルート フォース攻撃と呼ばれる手法を使用して、ユーザー名とパスワードを推測しようとします。 彼らはボットをプログラムして、ユーザー名とパスワードの何千もの組み合わせを数秒で入力します。

しかし、彼らがあなたのユーザー名を知っていれば、あなたのサイトへのアクセスまであと 1 歩しかないことを意味します。

ここで、ユーザー列挙の出番です。ハッカーは、Web サイトの作成者名と電子メール アドレスを調べて、ユーザー名を把握しようとします。

ハッカーがサイトでユーザー名を見つける方法はいくつかあります。 ユーザー列挙に対する対策を実装するために、ハッカーが使用する方法を理解することが重要です。

ユーザー列挙の種類

ユーザー名は WordPress サイトのデータベースに保存されます。 ただし、ハッカーは必ずしもデータベースにアクセスしてこの情報を見つける必要はありません。

ハッカーが WordPress サイトでユーザーを列挙するために使用する 2 つの主な手法について詳しく説明します。

1.著者アーカイブの使用

WordPress サイトのすべてのユーザーには、一意の ID が割り当てられています。 この ID は、データベース内の対応するユーザー アカウントを参照するために WordPress によって使用されます。

次に、Web サイトのユーザーがページや投稿を作成すると、WordPress はこのデータを作成者アーカイブに保存します。

著者アーカイブは、基本的に誰が作成したかに従ってページと投稿を分類します。

ハッカーはサイトでスクリプトを実行して、ユーザー ID を明らかにする可能性のある著者アーカイブをロードできます。 次に、さらにスクリプトを実行して、ユーザー ID にリンクされたユーザー名を見つけます。

2.ログインフォームの使用

WordPress ログイン ページで無効なユーザー名を入力すると、次のプロンプトが表示されます。

一方、有効なユーザー名と間違ったパスワードを入力すると、WordPress は次のプロンプトを表示します。

これは、ユーザー名「[email protected]」が有効なユーザー名であり、パスワードのみが正しくないことを示しています。

ハッカーは Burp Intruder などのツールを使用して、可能なユーザー名のリストを読み込み、WordPress からのこの応答を調べて有効なユーザー名を見つけます。

これらの方法を使用すると、ハッカーはユーザー名を発見できるため、Web サイトのハッキングに近づきます。 これが起こらないようにするためのセキュリティ対策を実装できます。

ユーザーを列挙しようとする試みの防止

プラグインを使用するか、WordPress ファイルにコードのスニペットを手動で挿入することで、ユーザーの列挙を停止できます。 手動による方法は非常に危険であるため、お勧めしません。 わずかなミスで Web サイトが破損する可能性があります。 ただし、両方の手順について詳しく説明します。

1. Stop User Enumeration プラグインをインストールする

これは、WordPress サイトでユーザーの列挙を停止する最も簡単で効率的な方法です。 この Stop User Enumeration Plugin は、WordPress リポジトリからサイトにインストールできます。

名前が示すように、プラグインは、ハッカーがサイトをスキャンしてユーザー名を探すのを防ぐように設計されています.

また、ユーザーを列挙しようとしている IP アドレスをログに記録する気の利いた機能もあります。 IP アドレスは、インターネットに接続されたデバイスに割り当てられる固有のコードです。 MalCare などの WordPress ファイアウォール プラグインは、悪意のあるアクティビティを実行する IP アドレスを検出し、サイトへのアクセスをブロックするように設計されています。

サイトにファイアウォールがインストールされている場合は、Stop User Enumeration プラグインによって提供される IP アドレス ログを、ファイアウォールがブロックしているログとクロス検証できます。 ブロックされていない場合、ほとんどのファイアウォールでは、IP アドレスを手動で入力してブラックリストに登録することができます。 ファイアウォールは、IP アドレスがサイトに再びアクセスするのを自動的に防ぎます。

2.ユーザーの列挙を停止するコードを手動で挿入する

注: この方法の使用はお勧めしません。 続行する場合は、WordPress サイトのバックアップを取ることをお勧めします。 何か問題が発生した場合は、Web サイトを通常の状態に戻すことができます。

ステップ 1:ホスティング アカウントにログインし、 [cPanel] > [ファイル マネージャー]に移動します。 (FileZilla のような FTP を使用してファイルにアクセスすることもできます。)

ステップ 2: public_htmlフォルダーを開き、 wp-contentに移動してテーマのフォルダーにアクセスします。 サイトでアクティブなテーマを選択することを忘れないでください。

ステップ 3:ここで、テーマのfunction.phpファイルを見つけることができます。 このファイルを右クリックして編集します。

ステップ 4:次のコードを挿入します。

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

変更を保存してファイルを閉じます。 Web サイトでユーザーの列挙をブロックする必要があります。

これで、ユーザーの列挙から Web サイトを保護することは終わりです。 また、サイトですぐに利用できないユーザー名を使用することを強くお勧めします。 たとえば、サイトにチーム メンバーとブログ作成者の名前が表示されている場合は、別の管理者名を使用することをお勧めします。

最終的な考え

WordPress サイトでユーザーの列挙をブロックすることで、ブルート フォース攻撃の可能性を減らします。 ハッカーは通常、ハッキングされやすいサイトをターゲットにします。 彼らのボットは、いくつかの試みに失敗し、あなたのサイトから移動します.

ただし、ブルート フォース攻撃は、WordPress サイトをハッカーから保護するために必要なセキュリティ上の脅威の 1 つにすぎません。

サイトがクリーンでマルウェアに感染していないことを確認するために、サイトを定期的にスキャンするセキュリティ プラグインを有効にすることを強くお勧めします。 また、ハッカーが Web サイトにアクセスするのを積極的にブロックします。

Web サイトのセキュリティが確保されているため、安心してサイトを運用できます。

MalCare で WordPress サイトを保護しましょう!