Jak naprawić błąd „Zapobieganie możliwej próbie wyliczenia użytkowników” (2 proste sposoby)

Czy martwisz się, że hakerzy próbują odkryć nazwy użytkowników w Twojej witrynie WordPress, aby ją zhakować?

Prawdopodobnie nie jest to twój pierwszy odruch, prawda?

Ale oto rzeczywistość: sondowanie witryny w celu znalezienia nazw użytkowników jest dość powszechną taktyką stosowaną przez hakerów.

Gdy hakerzy znajdą prawidłową nazwę użytkownika, muszą tylko odgadnąć hasło, aby uzyskać dostęp do Twojej witryny. Hakerzy użyją wtedy tak zwanego „ataku brutalnej siły”, aby odgadnąć właściwe hasło do pulpitu nawigacyjnego WordPress.

Następnie przejmują pełną kontrolę nad Twoją witryną i sieją spustoszenie. Hakerzy kradną dane, przekierowują odwiedzających i spamują klientów, a także długą listę innych złośliwych działań.

Ale nie martw się, ponieważ możesz uniemożliwić hakerom wykrycie nazw użytkowników, podejmując działania przeciwko luce w zabezpieczeniach związanej z wyliczaniem użytkowników.

Z tego przewodnika dowiesz się, czym jest wyliczanie użytkowników i jak zapobiegać wykorzystywaniu go przez hakerów.

TL;DR : Wyliczanie użytkowników może zwiększyć szanse na udany atak siłowy na Twoją witrynę WordPress. Aby temu zapobiec, możesz zainstalować wtyczkę MalCare Security. Wykryje i automatycznie zablokuje próby użycia siły w Twojej witrynie.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Ostateczne przemyślenia”]

Co to jest wyliczanie użytkowników?

Wyliczanie nazwy użytkownika to proces, dzięki któremu hakerzy mogą znaleźć użytkowników witryny WordPress. Skanują witrynę i zbierają informacje o użytkowniku (takie jak imię i nazwisko, identyfikator e-mail), których używają do próby zalogowania się na stronie.

Uwaga: Przez użytkownika nie rozumiemy gościa ani klienta. Mamy na myśli użytkowników, którzy mają dostęp do Twojego panelu administracyjnego WordPress.

Dlaczego jest to problem? Hakerzy stosują technikę zwaną atakami siłowymi, w których próbują odgadnąć nazwę użytkownika i hasło. Programują boty do wprowadzania tysięcy kombinacji nazw użytkowników i haseł w ciągu kilku sekund.

Ale jeśli znali Twoją nazwę użytkownika, oznacza to, że są tylko o krok od uzyskania dostępu do Twojej witryny.

W tym miejscu pojawia się wyliczanie użytkowników. Hakerzy próbują ustalić nazwę użytkownika, patrząc na nazwiska autorów i adresy e-mail w Twojej witrynie.

Hakerzy mogą znaleźć nazwy użytkowników w Twojej witrynie na różne sposoby. Ważne jest, aby zrozumieć metody stosowane przez hakerów w celu wdrożenia środków przeciwko wyliczaniu użytkowników.

Typy wyliczania użytkowników

Nazwy użytkowników są przechowywane w bazie danych Twojej witryny WordPress. Jednak hakerzy niekoniecznie muszą uzyskać dostęp do Twojej bazy danych, aby znaleźć te informacje.

Wyszczególniamy dwie główne techniki używane przez hakerów do wyliczania użytkowników w witrynach WordPress:

1. Korzystanie z archiwów autorów

Każdy użytkownik Twojej witryny WordPress ma przydzielony unikalny identyfikator. Ten identyfikator jest używany przez WordPress do odwoływania się do odpowiedniego konta użytkownika w bazie danych.

Następnie, gdy użytkownicy Twojej witryny tworzą strony i posty, WordPress przechowuje te dane w archiwum autora.

Archiwum autora zasadniczo kategoryzuje strony i posty według tego, kto je utworzył.

Hakerzy mogą uruchamiać skrypty w Twojej witrynie, aby załadować archiwum autora, które może ujawnić identyfikatory użytkowników. Następnie uruchamiają więcej skryptów, aby znaleźć nazwę użytkownika powiązaną z identyfikatorem użytkownika.

2. Korzystanie z formularza logowania

Gdy wpiszesz nieprawidłową nazwę użytkownika na stronie logowania WordPress, wyświetli się ten monit:

Natomiast jeśli wpiszesz prawidłową nazwę użytkownika i nieprawidłowe hasło , WordPress wyświetli ten monit:

Oznacza to, że nazwa użytkownika „uż[email protected]” jest prawidłową nazwą użytkownika i tylko hasło jest nieprawidłowe.

Hakerzy używają narzędzi takich jak Burp Intruder, aby załadować listę możliwych nazw użytkowników i znaleźć prawidłową, sprawdzając tę ​​odpowiedź z WordPress.

Korzystając z tych metod, hakerzy mogą odkryć Twoją nazwę użytkownika, co przybliża ich do zhakowania Twojej witryny. Możesz wdrożyć środki bezpieczeństwa, aby do tego nie doszło.

Zapobieganie możliwej próbie wyliczenia użytkowników

Możesz zatrzymać wyliczanie użytkowników za pomocą wtyczki lub ręcznie wstawiając fragment kodu do plików WordPress. Nie polecamy metody manualnej, ponieważ jest ona bardzo ryzykowna. Najmniejszy błąd może zepsuć Twoją witrynę. Jednak szczegółowo opiszemy kroki dla obu.

1. Zainstaluj wtyczkę Stop User Enumeration

Jest to najłatwiejszy i najskuteczniejszy sposób na zatrzymanie wyliczania użytkowników w witrynie WordPress. Możesz zainstalować tę wtyczkę Stop User Enumeration w swojej witrynie z repozytorium WordPress.

Jak sama nazwa wskazuje, wtyczka została zaprojektowana tak, aby uniemożliwić hakerom skanowanie Twojej witryny w poszukiwaniu nazw użytkowników.

Ma również fajną funkcję rejestrowania adresów IP, które próbują wyliczyć użytkowników. Adres IP to unikalny kod przydzielany urządzeniu podłączonemu do Internetu. Wtyczki WordPress Firewall, takie jak MalCare, są zaprojektowane do wykrywania adresów IP, które wykonują złośliwe działania i blokowania im dostępu do Twojej witryny.

Jeśli masz zainstalowaną zaporę ogniową w swojej witrynie, możesz zweryfikować dziennik adresów IP dostarczony przez wtyczkę Zatrzymaj wyliczanie użytkowników z tymi, które blokuje zapora sieciowa. W przypadku, gdy go nie blokuje, większość zapór ogniowych umożliwia ręczne wprowadzenie adresu IP i umieszczenie go na czarnej liście. Zapora sieciowa automatycznie uniemożliwi dostęp adresu IP do Twojej witryny.

2. Ręczne wprowadzanie kodu w celu zatrzymania wyliczania użytkowników

UWAGA: Pamiętaj, NIE POLECAMY korzystania z tej metody. Jeśli chcesz kontynuować, radzimy wykonać kopię zapasową witryny WordPress. Jeśli coś pójdzie nie tak, możesz przywrócić swoją witrynę do normalnego stanu.

Krok 1: Zaloguj się na swoje konto hostingowe, przejdź do cPanel > Menedżer plików . (Możesz również uzyskać dostęp do swoich plików za pomocą FTP, takiego jak FileZilla.)

Krok 2: Otwórz folder public_html , przejdź do wp-content i uzyskaj dostęp do folderu motywu . Pamiętaj, aby wybrać motyw, który jest aktywny na Twojej stronie.

Krok 3: Tutaj możesz znaleźć plik function.php swojego motywu. Kliknij prawym przyciskiem myszy i edytuj ten plik.

Krok 4: Wstaw następujący kod:

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

Zapisz zmiany i zamknij plik. Wyliczanie użytkowników powinno być zablokowane na Twojej stronie.

Na tym kończymy ochronę Twojej witryny przed wyliczeniem użytkowników. Zdecydowanie zalecamy również używanie nazwy użytkownika, która nie jest łatwo dostępna w Twojej witrynie. Na przykład, jeśli w witrynie są wyświetlane nazwiska członków zespołu i autorów blogów, mądrze byłoby zachować inną nazwę administratora.

Końcowe przemyślenia

Blokując wyliczanie użytkowników w witrynie WordPress, zmniejszasz szanse na ataki siłowe. Hakerzy zwykle atakują strony, które są łatwe do zhakowania. Ich boty wykonają kilka nieudanych prób i opuszczą Twoją witrynę.

Jednak ataki siłowe to tylko jedno z zagrożeń bezpieczeństwa, przed którymi musisz chronić swoją witrynę WordPress przed hakerami.

Zdecydowanie zalecamy aktywację wtyczki bezpieczeństwa, która będzie regularnie skanować Twoją witrynę, aby upewnić się, że jest czysta i wolna od złośliwego oprogramowania. Będzie również proaktywnie blokować hakerom dostęp do Twojej witryny.

Możesz spokojnie obsługiwać swoją witrynę, wiedząc, że jest ona zabezpieczona.

Chroń swoją witrynę WordPress za pomocą MalCare!