web-dev-qa-db-fra.com

Nom d'utilisateur et mot de passe administrateur

J'utilise un plugin de sécurité ceber qui protège mon site contre les attaques malveillantes, etc.

J'ai vérifié aujourd'hui et il y avait plus de 20 lock-out. J'ai vérifié les adresses IP et il n'y avait pas de circonscriptions, elles venaient du monde entier.

La seule chose qu’ils avaient en commun était le nom d’utilisateur qu’ils ont entré, c’est-à-dire l’un de mes noms d’administrateur.

Je me demandais A) comment ils l'avaient obtenu ... je suppose en partant de la page mise à jour, etc. ils ont un moyen de trouver l'inspection de la source?

B) comment empêcher que les noms d'utilisateur des administrateurs ne soient connus du public?

De plus, y a-t-il un moyen de séparer le serveur principal du serveur principal afin qu’ils ne puissent pas accéder au serveur principal et y apporter des modifications?

Toute aide serait incroyable :-)

phpwp-adminloginsecurity
1
Paulmcf1987

Voici un moyen simple d’énumérer les noms d’utilisateur (à l’aide de l’installation standard de WP:): il suffit d’utiliser une URL du type suivant: https://www.example.com/?user= 1 . ( ajouté Remarque: vous devrez peut-être utiliser une URL de page/publication réelle, comme dans https://www.example.com/a -real-page? user = 1 .) Vous obtiendrez des informations sur ce compte d'utilisateur (le premier compte d'utilisateur, qui sera l'utilisateur de niveau administrateur), puis vous pourrez commencer. brute forçant l'accès. (Dans une installation WP, le premier utilisateur créé est un utilisateur de niveau administrateur. Il est donc probable que l'URL ci-dessus vous donnera le nom d'utilisateur de l'administrateur.

Et si vous utilisez xmlrpc.prg, qui autorise plusieurs demandes sur la même demande, vous pouvez le faire encore plus rapidement.

Voici comment vous empêchez l'énumération des utilisateurs:

function redirect_to_home_if_author_parameter() {
      $is_author_set = get_query_var( 'author', '' );
      if ( $is_author_set != '' && !is_admin()) {
            wp_redirect( home_url(), 301 );
            exit;
      }
}
add_action( 'template_redirect', 'redirect_to_home_if_author_parameter' );

Cela redirigera toutes les demandes d'énumération d'utilisateurs (l'URL que j'ai mentionnée) à moins que vous ne soyez déjà connecté en tant qu'administrateur.

Une autre précaution consiste à désactiver xmlrpc.prg. Et pour ne pas avoir un utilisateur nommé 'admin' (ou si vous le faites, changez le en un niveau non-admin).

Désactivez xmlrpc.prg (qui offre de nombreuses possibilités de piratage de votre site) avec ceci:

add_filter('xmlrpc_enabled', '__return_false');

Placez les deux fragments de code dans votre functions.php (de préférence dans votre thème enfant). Ou vous pouvez créer un plugin simple avec le code ci-dessus.

Plus d'informations sur le problème d'énumération des utilisateurs sur mon blog ici .

2
Rick Hellewell