Как исправить ошибку «Предотвращение возможной попытки перечисления пользователей» (2 простых способа)
Опубликовано: 2023-04-19Вы обеспокоены тем, что хакеры пытаются обнаружить имена пользователей на вашем сайте WordPress, чтобы взломать его?
Вероятно, это не первый ваш инстинкт, верно?
Но вот проверка на практике: исследование вашего сайта для поиска имен пользователей — довольно распространенная тактика, используемая хакерами.
Как только хакеры найдут действительное имя пользователя, им нужно будет только угадать пароль, чтобы получить доступ к вашему сайту. Затем хакеры будут использовать так называемую «атаку грубой силы», чтобы угадать правильный пароль к вашей панели управления WordPress.
Затем они берут полный контроль над вашим сайтом и сеют хаос. Хакеры воруют данные, перенаправляют посетителей и рассылают клиентам спам, а также выполняют длинный список других вредоносных действий.
Но не беспокойтесь, потому что вы можете помешать хакерам обнаружить имена пользователей, приняв меры против уязвимости перечисления пользователей.
В этом руководстве вы узнаете, что такое перечисление пользователей и как предотвратить его использование хакерами.
TL;DR : перечисление пользователей может увеличить шансы на успешную атаку методом грубой силы на ваш сайт WordPress. Чтобы предотвратить это, вы можете установить плагин MalCare Security. Он обнаружит и автоматически заблокирует попытки грубой силы на вашем сайте.
[lwptoc skipHeadingLevel="h1,h3,h4,h5,h6″ skipHeadingText="Заключительные мысли"]
Что такое перечисление пользователей?
Перечисление имен пользователей — это процесс, с помощью которого хакеры могут найти пользователей веб-сайта WordPress. Они сканируют веб-сайт и собирают информацию о пользователе (например, имя, адрес электронной почты), которую они используют, чтобы попытаться войти на сайт.
Примечание. Под пользователем мы не подразумеваем посетителя или покупателя. Мы имеем в виду пользователей, которые имеют доступ к вашей панели администратора WordPress.
Почему это проблема? Хакеры используют технику, называемую атакой грубой силы, когда они пытаются угадать ваше имя пользователя и пароль. Они программируют ботов на ввод тысяч комбинаций логинов и паролей за несколько секунд.
Но если они знали ваше имя пользователя, значит, они всего в одном шаге от получения доступа к вашему сайту.
Вот тут и приходит на помощь перечисление пользователей. Хакеры пытаются выяснить имя пользователя, просматривая имена авторов и адреса электронной почты на вашем сайте.
Есть разные способы, которыми хакеры могут найти имена пользователей на вашем сайте. Важно понимать, какие методы используют хакеры для реализации мер против подсчета пользователей.
Типы перечисления пользователей
Имена пользователей хранятся в базе данных вашего сайта WordPress. Однако хакерам не обязательно иметь доступ к вашей базе данных, чтобы узнать эту информацию.
Мы подробно описываем два основных метода, которые хакеры используют для подсчета пользователей на сайтах WordPress:
1. Использование авторских архивов
Каждому пользователю на вашем сайте WordPress присвоен уникальный идентификатор. Этот идентификатор используется WordPress для ссылки на соответствующую учетную запись пользователя в базе данных.
Затем, когда пользователи вашего веб-сайта создают страницы и сообщения, WordPress сохраняет эти данные в авторском архиве.
Авторский архив в основном классифицирует страницы и посты в зависимости от того, кто их создал.
Хакеры могут запускать скрипты на вашем сайте для загрузки архива автора, который может раскрывать идентификаторы пользователей. Затем они запускают другие сценарии, чтобы узнать имя пользователя, связанное с идентификатором пользователя.
2. Использование формы входа
Когда вы вводите недопустимое имя пользователя на странице входа в WordPress, отображается следующее приглашение:
Принимая во внимание, что если вы введете действительное имя пользователя и неправильный пароль , WordPress отобразит это приглашение:
Это указывает на то, что имя пользователя «[email protected]» является допустимым именем пользователя, а неверным является только пароль.
Хакеры используют такие инструменты, как Burp Intruder, чтобы загрузить список возможных имен пользователей, чтобы найти действительное, изучив этот ответ от WordPress.
Используя эти методы, хакеры могут узнать ваше имя пользователя, и это приближает их к взлому вашего сайта. Вы можете принять меры безопасности, чтобы этого не произошло.
Предотвращение возможных попыток перечисления пользователей
Вы можете остановить перечисление пользователей либо с помощью плагина, либо вручную вставив фрагмент кода в ваши файлы WordPress. Мы не рекомендуем ручной метод, потому что это очень рискованно. Малейшая ошибка может сломать ваш сайт. Тем не менее, мы подробно опишем шаги для обоих.
1. Установите плагин Stop User Enumeration.
Это самый простой и эффективный способ остановить перечисление пользователей на вашем сайте WordPress. Вы можете установить этот плагин Stop User Enumeration на свой сайт из репозитория WordPress.
Как следует из названия, плагин предназначен для предотвращения сканирования вашего сайта хакерами в поисках имен пользователей.
Он также имеет отличную функцию регистрации IP-адресов, которые пытаются перечислить ваших пользователей. IP-адрес — это уникальный код, присвоенный устройству, подключенному к Интернету. Плагины брандмауэра WordPress, такие как MalCare, предназначены для обнаружения IP-адресов, которые выполняют вредоносные действия, и блокируют их доступ к вашему сайту.
Если на вашем сайте установлен брандмауэр, вы можете сверить журнал IP-адресов, предоставленный подключаемым модулем Stop User Enumeration, с теми, которые блокирует ваш брандмауэр. Если он не блокирует его, большинство брандмауэров позволяют вручную ввести IP-адрес и внести его в черный список. Затем брандмауэр автоматически предотвратит повторный доступ IP-адреса к вашему сайту.
2. Вставка кода вручную для остановки перечисления пользователей
ПРИМЕЧАНИЕ. Помните, что мы НЕ РЕКОМЕНДУЕМ использовать этот метод. Если вы хотите продолжить, мы советуем вам сделать резервную копию вашего сайта WordPress. Если что-то пойдет не так, вы можете вернуть свой сайт в нормальное состояние.
Шаг 1: Войдите в свою учетную запись хостинга, перейдите в cPanel > Диспетчер файлов . (Вы также можете получить доступ к своим файлам с помощью FTP, такого как FileZilla.)
Шаг 2: Откройте папку public_html , перейдите в wp-content и получите доступ к папке вашей темы . Не забудьте выбрать тему, которая активна на вашем сайте.
Шаг 3: Здесь вы можете найти файл function.php вашей темы. Щелкните правой кнопкой мыши и отредактируйте этот файл.
Шаг 4: Вставьте следующий код:
/** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );Сохраните изменения и закройте файл. Перечисление пользователей должно быть заблокировано на вашем сайте.
На этом мы заканчиваем защиту вашего сайта от перебора пользователей. Мы также настоятельно рекомендуем использовать имя пользователя, которого нет на вашем сайте. Например, если на вашем сайте отображаются имена членов команды и авторов блогов, было бы разумно оставить другое имя администратора.
Последние мысли
Блокируя перечисление пользователей на сайте WordPress, вы снижаете вероятность атак методом перебора. Хакеры обычно нацелены на сайты, которые легко взломать. Их боты сделают несколько неудачных попыток и уйдут с вашего сайта.
Однако атаки методом грубой силы — это только одна из угроз безопасности, от которых вам необходимо защитить свой сайт WordPress от хакеров.
Мы настоятельно рекомендуем активировать подключаемый модуль безопасности, который будет регулярно сканировать ваш сайт, чтобы убедиться, что он чист и не содержит вредоносных программ. Он также будет активно блокировать доступ хакеров к вашему сайту.
Вы можете спокойно управлять своим сайтом, зная, что ваш сайт защищен.
Защитите свой сайт WordPress с помощью MalCare!