Slik hindrer hackere i å oppdage brukernavn og passord på ditt WordPress-nettsted
Er du redd for at hackere kan oppdage brukernavnene på WordPress-nettstedet ditt og få tilgang til det? Hvis du ikke er det, bør du være det, fordi skanning av nettsteder for å oppdage brukernavn er en standard taktikk for hackere.
Når hackere oppdager et ekte brukernavn som brukes på WordPress-nettstedet ditt, kan de knekke passordet ved hjelp av brute force og ordboksangrep for å få tilgang til nettstedet. Derfra kan de ta direkte kontroll over nettstedet ditt og forårsake alle slags problemer, som å stjele data, omdirigere besøkende til falske nettsteder lastet med malware, sende ut spam-e-poster og mer.
I denne artikkelen skal vi snakke om hvordan du kan forhindre det.
For å lære å forsvare Word Press-nettstedene våre, må vi først forstå hva User Enumeration er fordi det kan øke sjansen for et vellykket brute force-angrep på nettstedet ditt.
Table of Contents
Hva er brukeroppregning?
Oppregning av brukernavn er metodene hackere bruker for å finne brukere av et WordPress-nettsted. De kan skanne det målrettede WordPress-nettstedet og samle inn brukeropplysninger, som de deretter vil bruke til å prøve og logge på.
Alle brukeropplysninger er lagret i din WordPress-database, men hackere trenger normalt ikke tilgang til databasen og kan ikke se dem. Hackere prøver vanligvis å oppdage brukeropplysningene ved å se på forfatternavn og e-postadresser på WordPress-nettstedet, men det er flere typer brukeroppregning, og vi må se på dem alle for å forstå hvordan vi best kan forsvare oss mot dem.
Ved å få tilgang til Forfatterarkiver
Hver bruker på et WordPress-nettsted har en spesifikk ID, som WordPress lagrer i et forfatterarkiv. Forfatterarkivet kategoriserer i hovedsak sider og innlegg i henhold til hvem som opprettet det. Hackere kan kjøre unike skript på ditt WordPress-nettsted for å få tilgang til forfatterarkivets bruker-ID-er. Fra det kan de oppdage brukernavnet som er koblet til bruker-IDen.
Gjennom påloggingsskjemaet
WordPress viser forskjellige meldinger hver gang du prøver å logge deg på, avhengig av om brukernavnet som er oppgitt eksisterer i databasen eller ikke. Hackere har verktøy de kan bruke for å laste inn en liste over mulige brukernavn for å finne et ekte et basert på ledeteksten de får fra WordPress.
Hvordan forhindre brukeroppregning
Du kan stoppe brukeroppregning enten ved å bruke en plugin eller ved å sette inn et kodebit manuelt i WordPress-filene dine. Vi anbefaler ikke den manuelle metoden fordi den er ekstremt risikabel. Den minste feilfeil kan ødelegge nettstedet ditt. Vi vil imidlertid detaljere trinnene for begge deler.
Last ned og installer Plug User Enumeration Plugin
Som navnet antyder, kan du installere denne pluginen for å beskytte nettstedet ditt mot brukeroppregning. Det finnes i WordPress-depotet. Du kan også bruke denne pluginen til å logge IP-adresser som prøver å oppregne brukere på nettstedet ditt. Forutsatt at du har en brannmur installert på nettstedet ditt, legger du disse adressene til listen over IP-adresser brannmuren blokkerer
Blokker brukeroppsummering manuelt
-
- Sikkerhetskopier først ditt WordPress-nettsted.
- Logg på hostingkontoen din, og naviger til cPanel> File Manager.
- Åpne mappen public_html, naviger til wp-innhold og få tilgang til temaets mappe. Du må velge temaet som er aktivt på nettstedet ditt.
- Nå kan du få tilgang til temaets function.php-fil. Høyreklikk og rediger denne filen.
- Skriv inn følgende kode: / *** Blokker brukeroppsummering * / funksjon kl_block_user_enumeration_attempt () {if (is_admin ()) return; $ author_by_id = (isset ($ _REQUEST ['author']) && is_numeric ($ _REQUEST ['author' ])); if ($ author_by_id) wp_die ('Forfatterarkiver er deaktivert.');} add_action ('template_redirect', 'kl_block_user_enumeration_att pogings');
- Gå ut og lagre endringene.
Brukeroppsummering vil bli blokkert på nettstedet ditt nå.
Merk: Vi anbefaler at du ikke gjør denne metoden hvis du ikke er trygg på dine tekniske ferdigheter.