Come impedire agli hacker di scoprire nomi utente e password sul tuo sito Web WordPress

Hai paura che gli hacker possano scoprire i nomi utente sul tuo sito WordPress e accedervi? Se non lo sei, dovresti esserlo, perché la scansione di siti per scoprire nomi utente è una tattica standard per gli hacker.

Quando gli hacker scoprono un vero nome utente utilizzato sul tuo sito Web WordPress, possono violare la password usando la forza bruta e gli attacchi del dizionario per ottenere l'accesso al sito. Da lì, possono assumere il controllo diretto del tuo sito Web e causare tutti i tipi di problemi, come il furto di dati, il reindirizzamento dei visitatori a siti Web fasulli carichi di malware, l'invio di e-mail di spam e altro ancora.
In questo articolo, parleremo di come prevenirlo.

Per imparare a difendere i nostri siti Word Press, dobbiamo prima capire che cos'è l'Enumerazione utente perché può aumentare le probabilità di un attacco di forza bruta riuscito sul tuo sito.

Che cos'è l'enumerazione utente?

L'enumerazione del nome utente è il metodo utilizzato dagli hacker per trovare gli utenti di un sito WordPress. Possono eseguire la scansione del sito Web WordPress di destinazione e raccogliere le credenziali dell'utente, che verranno quindi utilizzate per provare e accedere.

Tutte le credenziali dell'utente sono archiviate nel database del sito WordPress, ma gli hacker normalmente non devono accedere al database e non possono visualizzarle. Gli hacker di solito cercano di scoprire le credenziali dell'utente guardando i nomi degli autori e gli indirizzi e-mail sul sito di WordPress, ma ci sono diversi tipi di enumerazione degli utenti e dobbiamo guardarli tutti per capire come difendersi al meglio da loro.

Accedendo agli Archivi degli autori

Ogni utente su un sito WordPress ha un ID specifico, che WordPress memorizza in un archivio autore. L'archivio dell'autore essenzialmente classifica le pagine e i post in base a chi lo ha creato. Gli hacker possono eseguire script univoci sul tuo sito WordPress per accedere agli ID utente della vista dell'archivio autori. Da ciò, possono scoprire il nome utente collegato all'ID utente.

Attraverso il modulo di accesso

WordPress visualizza diversi messaggi ogni volta che si tenta di accedere a seconda che il nome utente inserito esista o meno nel database. Gli hacker dispongono di strumenti che possono utilizzare per caricare un elenco di possibili nomi utente per trovarne uno reale in base al prompt ricevuto da WordPress.

Come prevenire l'enumerazione degli utenti

Puoi interrompere l'enumerazione degli utenti utilizzando un plug-in o inserendo manualmente uno snippet di codice nei tuoi file WordPress. Non raccomandiamo il metodo manuale perché è estremamente rischioso. Il minimo passo falso può rompere il tuo sito web. Tuttavia, dettagliamo i passaggi per entrambi.

Scarica e installa il plug-in di enumerazione utente stop

Come suggerisce il nome, puoi installare questo plugin per proteggere il tuo sito dall'enumerazione utente. Può essere trovato nel repository WordPress. Inoltre, puoi utilizzare questo plugin per registrare gli indirizzi IP che stanno tentando di enumerare gli utenti sul tuo sito. Supponendo che sul proprio sito Web sia installato un firewall, aggiungere tali indirizzi all'elenco di indirizzi IP che il firewall sta bloccando

Blocca enumerazione utente manualmente

    1. Innanzitutto, esegui il backup del tuo sito WordPress.
    2. Accedi al tuo account di hosting e vai a cPanel> File Manager.
    3. Apri la cartella public_html, vai al contenuto di wp e accedi alla cartella del tuo tema. Devi selezionare il tema attivo sul tuo sito.
    4. Ora puoi accedere al file function.php del tuo tema. Fare clic con il tasto destro e modificare questo file.
    5. Immettere il seguente codice: / *** Blocca enumerazione utente * / funzione kl_block_user_enumeration_attempts () {if (is_admin ()) return; $ author_by_id = (isset ($ _REQUEST ['author']) && is_numeric ($ _REQUEST ['author' ])); if ($ author_by_id) wp_die ('Archivi autore sono stati disabilitati.');} add_action ('template_redirect', 'kl_block_user_enumeration_attempts');
    6. Esci e salva le modifiche.

L'enumerazione degli utenti verrà bloccata sul tuo sito Web ora.

Nota: si consiglia di non utilizzare questo metodo se non si è sicuri delle proprie capacità tecniche.

June 30, 2020
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.