Protegendo contas de administrador - descoberta de nome de usuário

9

Temos as Tentativas de login com limite instaladas há algumas semanas, e o número de tentativas de força bruta que ocorrem no wp-admin / wp-login é bastante surpreendente. No início, as tentativas eram todas com o nome de usuário "Admin", que não existe em nosso site, por isso considerei um aborrecimento, mas não uma ameaça. No entanto, agora estamos vendo bloqueios ocorrendo com outras contas de usuário administrador nomeadas e estou completamente sem entender como os invasores estão deduzindo os nomes de usuário dessas contas.

Nenhum conteúdo em nosso site é de autoria de ninguém em particular e não consigo encontrar nenhum outro local em que esses nomes de usuário sejam publicados publicamente.

Alguma idéia de como os nomes de usuário podem ser descobertos?

admin wp-admin security user20814
fonte

Respostas:

9

Se você tem permalinks bonitas habilitado WordPress irá redirecionar todas as chamadas para /?author=1o arquivo de autor com o nome do usuário, por exemplo .: /author/bob/. E então o visitante saberá o nome do autor.

Use o bloqueio de login , esse plug-in não redefine contas, ele bloqueia endereços IP.

fuxia
fonte
"As tentativas de logon de limite impedem que um endereço da Internet faça novas tentativas depois que um limite especificado de novas tentativas é atingido ..." Eu não sou afiliado ao plug-in, mas o uso, e é exatamente isso que ele parece fazer. O endereço IP associado a um logon com falha é registrado e o endereço é bloqueado se um limite máximo de tentativa configurável for atingido. Além disso, o "Bloqueio de login" não foi atualizado em dois anos.
S2ha
2

Buggers espertos. Eu acho que vou redirecionar solicitações para /? Author =. Parece razoável? Algo como:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
user20814
fonte
Isso seria segurança por obscuridade . É melhor configurar seu site para que não importe se um visitante sabe seu nome de usuário. Os plugins do LLA estão violando essa regra essencial; não siga o mesmo caminho.
fuxia
@toscho você pode elaborar? Eu não acho que o plugin LLA viole completamente essa regra. Ele funciona iniciando um bloqueio de IP após x falhas nas tentativas de login. Ele não funciona mesmo quando o atacante sabe o nome de usuário. O que mais pode ser feito? Proteger com senha wp-admin ... lista branca apenas alguns ip's com .htaccess ... verifique se todos os usuários têm senhas fortes ...? Independentemente de qualquer um / todos os itens acima, ainda gosto da opção de redirecionamento acima para proteção de cinto e suspensórios.
user20814
Talvez eu me lembre disso errado. Tive a impressão de que um determinado usuário será bloqueado após algumas tentativas falhas de login.
fuxia
Na verdade, porcaria, você está certo. Eu errei. O bloqueio é baseado no usuário.
user20814