ハッカーがWordPress Webサイトでユーザー名とパスワードを発見するのを防ぐ方法
ハッカーがWordPressサイトのユーザー名を発見してアクセスするのを怖がっていますか?そうでない場合は、そうする必要があります。ユーザー名を見つけるためにサイトをスキャンすることは、ハッカーにとって標準的な戦術だからです。
ハッカーは、WordPress Webサイトで使用されている実際のユーザー名を発見すると、ブルートフォース攻撃や辞書攻撃を使用してパスワードを解読し、サイトにアクセスできます。そこから、あなたのウェブサイトを直接制御し、データを盗む、訪問者をマルウェアがロードされた偽のウェブサイトにリダイレクトする、スパムメールを送信するなど、あらゆる種類の問題を引き起こす可能性があります。
この記事では、それを防ぐ方法について説明します。
Word Pressサイトを防御する方法を学ぶには、サイトへのブルートフォース攻撃の成功率を高めることができるため、まずユーザー列挙とは何かを理解する必要があります。
Table of Contents
ユーザー列挙とは何ですか?
ユーザー名の列挙は、ハッカーがWordPressサイトのユーザーを見つけるために使用する方法です。ターゲットのWordPress Webサイトをスキャンしてユーザーの資格情報を収集し、それを使用してログインを試みます。
すべてのユーザー認証情報はWordPressサイトデータベースに保存されますが、ハッカーは通常、データベースにアクセスする必要がなく、それらを表示することはできません。ハッカーは通常、WordPressサイトの作成者名と電子メールアドレスを見てユーザーの資格情報を見つけようとしますが、ユーザーの列挙にはいくつかの種類があり、それらすべてを調べて、それらに対する最善の防御方法を理解する必要があります。
著者アーカイブにアクセスする
WordPressサイトのすべてのユーザーは、WordPressが作成者アーカイブに保存する特定のIDを持っています。作成者のアーカイブは基本的に、作成者に応じてページと投稿を分類します。ハッカーは、WordPressサイトで独自のスクリプトを実行して、作成者アーカイブビューのユーザーIDにアクセスできます。それから、ユーザーIDにリンクされたユーザー名を発見できます。
ログインフォームから
入力したユーザー名がデータベースに存在するかどうかに応じて、ログインしようとするたびにWordPressに異なるメッセージが表示されます。ハッカーは、可能なユーザー名のリストをロードして、WordPressから取得したプロンプトに基づいて実際のユーザー名を見つけるために使用できるツールを持っています。
ユーザー列挙を防ぐ方法
プラグインを使用するか、WordPressファイルにコードのスニペットを手動で挿入することにより、ユーザーの列挙を停止できます。非常にリスクが高いため、手動による方法はお勧めしません。ほんの少しのミスがウェブサイトを壊す可能性があります。ただし、両方の手順について詳しく説明します。
Stop User Enumeration Pluginをダウンロードしてインストールします
名前が示すように、このプラグインをインストールして、ユーザー列挙からサイトを保護できます。 WordPressリポジトリにあります。また、このプラグインを使用して、サイトのユーザーを列挙しようとしているIPアドレスをログに記録できます。ファイアウォールがWebサイトにインストールされていると想定して、ファイアウォールがブロックしているIPアドレスのリストにそれらのアドレスを追加します
ユーザー列挙を手動でブロックする
-
- まず、WordPressサイトをバックアップします。
- ホスティングアカウントにログインし、cPanel>ファイルマネージャーに移動します。
- public_htmlフォルダーを開き、wp-contentに移動して、テーマのフォルダーにアクセスします。あなたのサイトでアクティブなテーマを選択する必要があります。
- これで、テーマのfunction.phpファイルにアクセスできます。このファイルを右クリックして編集します。
- 次のコードを入力します。 ])); if($ author_by_id)wp_die( '作成者のアーカイブが無効になっています。');} add_action( 'template_redirect'、 'kl_block_user_enumeration_attempts');
- 終了して変更を保存します。
ユーザーの列挙はあなたのウェブサイトでブロックされます。
注:技術的なスキルに自信がない場合は、この方法を実行しないことをお勧めします。
