如何修復錯誤“阻止可能的枚舉用戶嘗試”（2 種簡單方法）

您是否擔心黑客試圖在您的 WordPress 網站上發現用戶名以對其進行破解？

可能不是你的第一直覺，對吧？

但這裡有一個現實檢查：探測您的站點以查找用戶名是黑客使用的一種非常常見的策略。

一旦黑客找到有效的用戶名，他們只需猜測密碼即可訪問您的網站。 然後，黑客將使用所謂的“蠻力攻擊”來猜測您的 WordPress 儀表板的正確密碼。

接下來，他們會完全控制您的網站並造成嚴重破壞。 黑客竊取數據、重定向訪問者和向客戶發送垃圾郵件，以及一長串其他惡意活動。

不過不用擔心，您可以通過針對用戶枚舉漏洞採取措施來防止黑客發現用戶名。

在本指南中，您將了解什麼是用戶枚舉以及如何防止它被黑客利用。

TL;DR ：用戶枚舉可以增加對您的 WordPress 網站進行暴力攻擊的成功機會。 為防止這種情況，您可以安裝 MalCare 安全插件。 它將檢測並自動阻止您網站上的暴力破解嘗試。

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”最後的想法”]

什麼是用戶枚舉？

用戶名枚舉是黑客可以找到 WordPress 網站用戶的過程。 他們掃描網站並收集他們用來嘗試登錄網站的用戶信息（如姓名、電子郵件 ID）。

注意：我們所說的用戶並不是指訪問者或客戶。 我們指的是有權訪問您的 WordPress 管理面板的用戶。

為什麼這是個問題？ 黑客使用一種稱為暴力攻擊的技術，他們會嘗試猜測您的用戶名和密碼。 他們對機器人進行編程，使其在幾秒鐘內輸入數千種用戶名和密碼組合。

但是，如果他們知道您的用戶名，則意味著他們離訪問您的網站只有一步之遙。

這就是用戶枚舉的用武之地。黑客試圖通過查看您網站上的作者姓名和電子郵件地址來找出用戶名。

黑客可以通過不同的方式在您的網站上找到用戶名。 重要的是要了解黑客使用的方法以實施針對用戶枚舉的措施。

用戶枚舉的類型

用戶名存儲在您的 WordPress 站點的數據庫中。 但是，黑客不一定非得訪問您的數據庫才能找到這些信息。

我們詳細介紹了黑客用來枚舉 WordPress 網站用戶的兩種主要技術：

1.使用作者檔案

您的 WordPress 網站上的每個用戶都有一個分配給他們的唯一 ID。 WordPress 使用此 ID 來引用數據庫中的相應用戶帳戶。

接下來，當您網站的用戶創建頁面和帖子時，WordPress 會將此數據存儲在作者檔案中。

作者檔案基本上根據創建者對頁面和帖子進行分類。

黑客可以在您的網站上運行腳本來加載作者檔案，這可能會洩露用戶 ID。 接下來，他們運行更多腳本來找出鏈接到用戶 ID 的用戶名。

2.使用登錄表單

當您在 WordPress 登錄頁面輸入無效的用戶名時，會顯示以下提示：

然而，如果您輸入有效的用戶名和錯誤的密碼，WordPress 會顯示以下提示：

這表明用戶名“[email protected]”是一個有效的用戶名，只是密碼不正確。

黑客使用 Burp Intruder 等工具加載可能的用戶名列表，通過檢查來自 WordPress 的響應來找到有效的用戶名。

使用這些方法，黑客可以發現您的用戶名，這使他們更接近於入侵您的網站。 您可以實施安全措施以確保不會發生這種情況。

防止可能的枚舉用戶嘗試

您可以通過使用插件或手動將一段代碼插入 WordPress 文件來停止用戶枚舉。 我們不推薦手動方法，因為它非常危險。 最輕微的失誤可能會破壞您的網站。 但是，我們將詳細說明兩者的步驟。

1.安裝停止用戶枚舉插件

這是停止 WordPress 網站上的用戶枚舉的最簡單和最有效的方法。 您可以從 WordPress 存儲庫在您的站點上安裝此停止用戶枚舉插件。

顧名思義，該插件旨在防止黑客掃描您的網站以獲取用戶名。

它還具有記錄試圖枚舉用戶的 IP 地址的絕妙功能。 IP 地址是分配給連接到互聯網的設備的唯一代碼。 MalCare 等 WordPress 防火牆插件旨在檢測執行惡意活動的 IP 地址並阻止他們訪問您的站點。

如果您的網站上安裝了防火牆，您可以交叉驗證停止用戶枚舉插件提供的 IP 地址日誌與您的防火牆阻止的 IP 地址日誌。 如果它沒有阻止它，大多數防火牆允許您手動輸入 IP 地址並將其列入黑名單。 然后防火牆將自動阻止該 IP 地址再次訪問您的站點。

2.手動插入代碼停止用戶枚舉

注意：請記住，我們不推薦使用此方法。 如果您想繼續，我們建議您備份您的 WordPress 網站。 如果出現任何問題，您可以將您的網站恢復正常。

第 1 步：登錄到您的主機帳戶，轉到cPanel > 文件管理器。 （您也可以使用像 FileZilla 這樣的 FTP 訪問您的文件。）

第 2 步：打開public_html文件夾，轉到wp-content並訪問您的主題文件夾。 請記住選擇您網站上處於活動狀態的主題。

第 3 步：在這裡，您可以找到主題的function.php文件。 右鍵單擊並編輯此文件。

第 4 步：插入以下代碼：

 /** * Block User Enumeration */ function kl_block_user_enumeration_attempts() { if ( is_admin() ) return; $author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) ); if ( $author_by_id ) wp_die( 'Author archives have been disabled.' ); } add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

保存更改並關閉文件。 應在您的網站上阻止用戶枚舉。

這樣，我們就可以結束保護您的網站免受用戶枚舉的攻擊。 我們還強烈建議使用您網站上不易獲得的用戶名。 例如，如果您的網站上顯示了團隊成員和博客作者姓名，那麼保留不同的管理員名稱是明智的。

最後的想法

通過阻止 WordPress 站點中的用戶枚舉，您可以減少暴力攻擊的機會。 黑客通常以容易被黑客入侵的網站為目標。 他們的機器人將進行幾次不成功的嘗試並離開您的站點。

但是，暴力攻擊只是您需要保護您的 WordPress 網站免受黑客攻擊的安全威脅之一。

我們強烈建議激活一個安全插件，該插件會定期掃描您的網站，以確保網站乾淨且無惡意軟件。 它還會主動阻止黑客訪問您的網站。

知道您的網站是安全的，您可以放心地操作您的網站。

使用 MalCare 保護您的 WordPress 網站！