Como corrigir o erro “Evitando possíveis tentativas de enumerar usuários” (2 maneiras fáceis)

Você está preocupado que os hackers estejam tentando descobrir nomes de usuários em seu site WordPress para invadi-lo?

Provavelmente não é seu primeiro instinto, certo?

Mas aqui está uma verificação da realidade: sondar seu site para encontrar nomes de usuários é uma tática bastante comum usada por hackers.

Depois que os hackers encontram um nome de usuário válido, eles só precisam adivinhar a senha para obter acesso ao seu site. Os hackers usarão o que é chamado de 'Ataque de Força Bruta' para adivinhar a senha certa para o painel do WordPress.

Em seguida, eles assumem o controle total do seu site e causam estragos. Os hackers roubam dados, redirecionam visitantes e enviam spam aos clientes, entre uma longa lista de outras atividades maliciosas.

Mas não se preocupe porque você pode impedir que hackers descubram nomes de usuários tomando medidas contra a vulnerabilidade de enumeração de usuários.

Neste guia, você aprenderá o que é a enumeração de usuários e como evitar que ela seja explorada por hackers.

TL;DR : A enumeração do usuário pode aumentar as chances de um ataque de força bruta bem-sucedido em seu site WordPress. Para evitar isso, você pode instalar o MalCare Security Plugin. Ele detectará e bloqueará automaticamente as tentativas de força bruta em seu site.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Pensamentos Finais”]

O que é Enumeração de Usuário?

A enumeração de nome de usuário é o processo pelo qual os hackers podem encontrar usuários de um site WordPress. Eles escaneiam o site e coletam informações do usuário (como nome, ID de e-mail) que usam para tentar fazer login no site.

Observação: por usuário, não queremos dizer visitante ou cliente. Queremos dizer usuários que têm acesso ao seu painel de administração do WordPress.

Por que isso é um problema? Os hackers usam uma técnica chamada ataques de força bruta, na qual tentam adivinhar seu nome de usuário e senha. Eles programam bots para inserir milhares de combinações de nomes de usuário e senhas em poucos segundos.

Mas se eles souberem seu nome de usuário, isso significa que eles estão a apenas um passo de obter acesso ao seu site.

É aqui que entra a enumeração do usuário. Os hackers tentam descobrir o nome de usuário observando os nomes dos autores e endereços de e-mail em seu site.

Existem diferentes maneiras pelas quais os hackers podem encontrar nomes de usuários em seu site. É importante entender os métodos que os hackers usam para implementar medidas contra a enumeração de usuários.

Tipos de enumeração de usuário

Os nomes de usuário são armazenados no banco de dados do seu site WordPress. No entanto, os hackers não precisam necessariamente acessar seu banco de dados para descobrir essas informações.

Detalhamos duas técnicas principais que os hackers usam para enumerar usuários em sites WordPress:

1. Usando Arquivos de Autor

Cada usuário em seu site WordPress tem um ID exclusivo atribuído a eles. Este ID é usado pelo WordPress para referenciar a conta de usuário correspondente no banco de dados.

Em seguida, à medida que os usuários do seu site criam páginas e postagens, o WordPress armazena esses dados em um arquivo de autor.

O arquivo do autor basicamente categoriza páginas e postagens de acordo com quem o criou.

Os hackers podem executar scripts em seu site para carregar o arquivo do autor, o que pode revelar IDs de usuário. Em seguida, eles executam mais scripts para descobrir o nome de usuário vinculado ao ID do usuário.

2. Usando o formulário de login

Quando você insere um nome de usuário inválido na página de login do WordPress, ele exibe este prompt:

Considerando que, se você inserir um nome de usuário válido e uma senha incorreta , o WordPress exibirá este prompt:

Isso indica que o nome de usuário '[email protected]' é um nome de usuário válido e apenas a senha está incorreta.

Os hackers usam ferramentas como o Burp Intruder para carregar uma lista de possíveis nomes de usuário para encontrar um válido examinando esta resposta do WordPress.

Usando esses métodos, os hackers podem descobrir seu nome de usuário e isso os aproxima de invadir seu site. Você pode implementar medidas de segurança para garantir que isso não aconteça.

Prevenindo Possíveis Tentativas de Enumerar Usuários

Você pode interromper a enumeração de usuários usando um plug-in ou inserindo manualmente um trecho de código em seus arquivos do WordPress. Não recomendamos o método manual porque é extremamente arriscado. O menor passo em falso pode quebrar seu site. No entanto, detalharemos as etapas para ambos.

1. Instale o plug-in Stop User Enumeration

Esta é a maneira mais fácil e eficiente de interromper a enumeração de usuários em seu site WordPress. Você pode instalar este plug-in Stop User Enumeration em seu site a partir do repositório do WordPress.

Como o nome sugere, o plug-in foi projetado para impedir que hackers escaneiem seu site em busca de nomes de usuário.

Ele também possui um recurso bacana de registrar endereços IP que estão tentando enumerar seus usuários. Um endereço IP é um código exclusivo atribuído a um dispositivo conectado à Internet. Os plug-ins do WordPress Firewall, como o MalCare, são projetados para detectar endereços IP que realizam atividades maliciosas e bloqueiam o acesso ao seu site.

Se você tiver um firewall instalado em seu site, poderá verificar o log de endereço IP fornecido pelo plug-in Stop User Enumeration com aqueles que seu firewall está bloqueando. Caso não esteja bloqueando, a maioria dos firewalls permite que você insira manualmente o endereço IP e o coloque na lista negra. O firewall impedirá automaticamente que o endereço IP acesse seu site novamente.

2. Inserção manual de código para interromper a enumeração do usuário

NOTA: Lembre-se, NÃO RECOMENDAMOS o uso deste método. Caso pretenda prosseguir, aconselhamos que faça uma cópia de segurança do seu site WordPress. Se algo der errado, você pode restaurar seu site de volta ao normal.

Etapa 1: faça login na sua conta de hospedagem, vá para cPanel > Gerenciador de arquivos . (Você também pode acessar seus arquivos usando um FTP como o FileZilla.)

Passo 2: Abra a pasta public_html , vá em wp-content e acesse a pasta do seu tema . Lembre-se de escolher o tema que está ativo em seu site.

Passo 3: Aqui, você pode encontrar o arquivo function.php do seu tema. Clique com o botão direito do mouse e edite este arquivo.

Passo 4: Insira o seguinte código:

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

Salve as alterações e feche o arquivo. A enumeração do usuário deve ser bloqueada em seu site.

Com isso, encerramos a proteção do seu site contra a enumeração de usuários. Também recomendamos fortemente o uso de um nome de usuário que não esteja prontamente disponível em seu site. Por exemplo, se você tiver membros da equipe e nomes de autores de blog exibidos em seu site, seria sensato manter um nome de administrador diferente.

Pensamentos finais

Ao bloquear a enumeração de usuários no site WordPress, você reduz as chances de ataques de força bruta. Os hackers geralmente visam sites fáceis de hackear. Seus bots farão algumas tentativas malsucedidas e sairão do seu site.

No entanto, ataques de força bruta são apenas uma das ameaças de segurança das quais você precisa proteger seu site WordPress de hackers.

Recomendamos fortemente ativar um plug-in de segurança que escaneie seu site regularmente para garantir que ele esteja limpo e livre de malware. Ele também bloqueará proativamente o acesso de hackers ao seu site.

Você pode operar seu site com tranquilidade sabendo que seu site está protegido.

Proteja seu site WordPress com MalCare!