Cum să remediați eroarea „Prevenirea posibilelor încercări de a enumera utilizatorii” (2 moduri simple)

Ești îngrijorat că hackerii încearcă să descopere nume de utilizator pe site-ul tău WordPress pentru a-l pirata?

Probabil că nu este primul tău instinct, nu?

Dar iată o verificare a realității: sondarea site-ului dvs. pentru a găsi nume de utilizator este o tactică destul de comună folosită de hackeri.

Odată ce hackerii găsesc un nume de utilizator valid, trebuie doar să ghicească parola pentru a avea acces la site-ul dvs. Hackerii vor folosi apoi ceea ce se numește „Brute Force Attack” pentru a ghici parola potrivită pentru tabloul de bord WordPress.

În continuare, aceștia preiau controlul deplin asupra site-ului tău web și fac ravagii. Hackerii fură date, redirecționează vizitatorii și spam clienții, printre o listă lungă de alte activități rău intenționate.

Dar nu vă faceți griji, deoarece puteți împiedica hackerii să descopere nume de utilizator luând măsuri împotriva vulnerabilității de enumerare a utilizatorilor.

În acest ghid, veți afla ce este enumerarea utilizatorilor și cum să preveniți exploatarea acesteia de către hackeri.

TL;DR : Enumerarea utilizatorilor poate crește șansele unui atac cu forță brută de succes pe site-ul dvs. WordPress. Pentru a preveni acest lucru, puteți instala pluginul de securitate MalCare. Acesta va detecta și va bloca automat încercările de forță brută pe site-ul dvs.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Gânduri finale”]

Ce este enumerarea utilizatorilor?

Enumerarea numelor de utilizator este procesul prin care hackerii pot găsi utilizatorii unui site web WordPress. Ei scanează site-ul web și colectează informații despre utilizator (cum ar fi numele, ID-ul de e-mail) pe care le folosesc pentru a încerca să se autentifice pe site.

Notă: prin utilizator, nu ne referim la un vizitator sau un client. Ne referim la utilizatori care au acces la panoul de administrare WordPress.

De ce este aceasta o problemă? Hackerii folosesc o tehnică numită atacuri de forță brută în care încearcă să ghicească numele de utilizator și parola. Ei programează roboți pentru a introduce mii de combinații de nume de utilizator și parole în câteva secunde.

Dar dacă știau numele tău de utilizator, înseamnă că sunt la doar un pas de a obține acces la site-ul tău.

Aici intervine enumerarea utilizatorilor. Hackerii încearcă să descopere numele de utilizator uitându-se la numele autorilor și adresele de e-mail de pe site-ul dvs.

Există diferite moduri prin care hackerii pot găsi nume de utilizator pe site-ul tău. Este important să înțelegeți metodele pe care le folosesc hackerii pentru a implementa măsuri împotriva enumerarii utilizatorilor.

Tipuri de enumerare a utilizatorilor

Numele de utilizator sunt stocate în baza de date a site-ului dvs. WordPress. Cu toate acestea, hackerii nu trebuie neapărat să vă acceseze baza de date pentru a afla aceste informații.

Detaliem două tehnici principale pe care le folosesc hackerii pentru a enumera utilizatorii de pe site-urile WordPress:

1. Utilizarea Arhivelor Autorului

Fiecare utilizator de pe site-ul dvs. WordPress are un ID unic alocat. Acest ID este folosit de WordPress pentru a face referire la contul de utilizator corespunzător din baza de date.

Apoi, pe măsură ce utilizatorii site-ului dvs. creează pagini și postări, WordPress stochează aceste date într-o arhivă de autor.

Arhiva autorului clasifică practic paginile și postările în funcție de cine a creat-o.

Hackerii pot rula scripturi pe site-ul dvs. pentru a încărca arhiva autorului, care poate dezvălui ID-uri de utilizator. Apoi, rulează mai multe scripturi pentru a afla numele de utilizator legat de ID-ul utilizatorului.

2. Utilizarea formularului de autentificare

Când introduceți un nume de utilizator nevalid pe pagina de conectare WordPress, acesta afișează această solicitare:

În timp ce, dacă introduceți un nume de utilizator valid și o parolă incorectă , WordPress afișează această solicitare:

Aceasta indică faptul că numele de utilizator „[email protected]” este un nume de utilizator valid și doar parola este incorectă.

Hackerii folosesc instrumente precum Burp Intruder pentru a încărca o listă de nume de utilizator posibile pentru a găsi unul valid, examinând acest răspuns de la WordPress.

Folosind aceste metode, hackerii vă pot descoperi numele de utilizator și acest lucru îi apropie de piratarea site-ului dvs. Puteți implementa măsuri de securitate pentru a vă asigura că acest lucru nu se întâmplă.

Prevenirea posibilelor încercări de a enumera utilizatorii

Puteți opri enumerarea utilizatorilor fie utilizând un plugin, fie inserând manual un fragment de cod în fișierele dvs. WordPress. Nu recomandam metoda manuala deoarece este extrem de riscanta. Cel mai mic pas greșit vă poate distruge site-ul. Cu toate acestea, vom detalia pașii pentru ambele.

1. Instalați pluginul Stop User Enumeration

Acesta este cel mai simplu și eficient mod de a opri enumerarea utilizatorilor pe site-ul dvs. WordPress. Puteți instala acest plugin Stop User Enumeration pe site-ul dvs. din depozitul WordPress.

După cum sugerează și numele, pluginul este conceput pentru a împiedica hackerii să scaneze site-ul dvs. pentru nume de utilizator.

De asemenea, are o caracteristică ingenioasă de înregistrare a adreselor IP care încearcă să-ți enumere utilizatorii. O adresă IP este un cod unic alocat unui dispozitiv care este conectat la internet. Pluginurile WordPress Firewall, cum ar fi MalCare, sunt concepute pentru a detecta adresele IP care desfășoară activități rău intenționate și le blochează să acceseze site-ul dvs.

Dacă aveți un firewall instalat pe site-ul dvs., puteți verifica încrucișat jurnalul de adrese IP furnizat de pluginul Stop User Enumeration cu cele blocate de firewall. În cazul în care nu îl blochează, majoritatea firewall-urilor vă permit să introduceți manual adresa IP și să o puneți pe lista neagră. Firewall-ul va împiedica apoi automat adresa IP să vă mai acceseze site-ul.

2. Introducerea manuală a codului pentru a opri enumerarea utilizatorilor

NOTĂ: Rețineți că NU RECOMANDĂM folosirea acestei metode. În cazul în care doriți să continuați, vă sfătuim să faceți o copie de rezervă a site-ului dvs. WordPress. Dacă ceva nu merge bine, vă puteți restabili site-ul la normal.

Pasul 1: Conectați-vă la contul dvs. de găzduire, accesați cPanel > File Manager . (De asemenea, vă puteți accesa fișierele folosind un FTP precum FileZilla.)

Pasul 2: Deschideți folderul public_html , accesați wp-content și accesați folderul temei dvs. . Nu uitați să alegeți tema care este activă pe site-ul dvs.

Pasul 3: Aici puteți găsi fișierul function.php al temei dvs. Faceți clic dreapta și editați acest fișier.

Pasul 4: introduceți următorul cod:

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

Salvați modificările și închideți fișierul. Enumerarea utilizatorilor ar trebui să fie blocată pe site-ul dvs.

Cu aceasta, ajungem la capăt în ceea ce privește protejarea site-ului dvs. web împotriva enumerarii utilizatorilor. De asemenea, vă recomandăm insistent să utilizați un nume de utilizator care nu este ușor disponibil pe site-ul dvs. De exemplu, dacă aveți membri ai echipei și nume de autori de blog afișate pe site-ul dvs., ar fi înțelept să păstrați un nume de administrator diferit.

Gânduri finale

Blocând enumerarea utilizatorilor pe site-ul WordPress, reduceți șansele de atacuri cu forță brută. Hackerii vizează de obicei site-uri care sunt ușor de piratat. Boții lor vor face câteva încercări nereușite și vor trece de pe site-ul dvs.

Cu toate acestea, atacurile cu forță brută sunt doar una dintre amenințările de securitate de care trebuie să vă protejați site-ul WordPress de hackeri.

Vă recomandăm insistent să activați un plugin de securitate care vă va scana site-ul în mod regulat pentru a vă asigura că este curat și fără malware. De asemenea, va bloca în mod proactiv accesul hackerilor pe site-ul dvs.

Vă puteți opera site-ul cu liniște, știind că site-ul dvs. este securizat.

Protejați-vă site-ul WordPress cu MalCare!