Как не дать хакерам узнать имена пользователей и пароли на вашем сайте WordPress
Вы боитесь, что хакеры смогут обнаружить имена пользователей на вашем сайте WordPress и получить к ним доступ? Если нет, то так и должно быть, потому что сканирование сайтов для обнаружения имен пользователей является стандартной тактикой для хакеров.
Когда хакеры обнаруживают реальное имя пользователя, используемое на вашем веб-сайте WordPress, они могут взломать пароль, используя грубую силу и атаки по словарю, чтобы получить доступ к сайту. Оттуда они могут взять на себя прямой контроль над вашим веб-сайтом и вызвать все виды неприятностей, таких как кража данных, перенаправление посетителей на фальшивые веб-сайты, загруженные вредоносными программами, рассылка спам-писем и многое другое.
В этой статье мы поговорим о том, как это предотвратить.
Чтобы узнать, как защитить наши сайты Word Press, мы должны сначала понять, что такое Перечисление пользователей, потому что оно может увеличить шансы на успешную атаку грубой силой на ваш сайт.
Table of Contents
Что такое перечисление пользователей?
Перечисление имени пользователя - это методы, используемые хакерами для поиска пользователей сайта WordPress. Они могут сканировать целевой веб-сайт WordPress и собирать учетные данные пользователя, которые затем они будут использовать, чтобы попытаться войти в систему.
Все учетные данные пользователя хранятся в базе данных вашего сайта WordPress, но хакерам обычно не требуется доступ к вашей базе данных, и они не могут их просматривать. Хакеры обычно пытаются обнаружить учетные данные пользователя, просматривая имена авторов и адреса электронной почты на сайте WordPress, но существует несколько типов перечисления пользователей, и нам необходимо просмотреть все из них, чтобы понять, как лучше всего защититься от них.
Получив доступ к архиву автора
У каждого пользователя на сайте WordPress есть определенный идентификатор, который WordPress хранит в авторском архиве. Автор архива по существу классифицирует страницы и посты в зависимости от того, кто его создал. Хакеры могут запускать уникальные сценарии на вашем сайте WordPress для доступа к идентификаторам пользователей в авторском архиве. Отсюда они могут узнать имя пользователя, связанное с идентификатором пользователя.
Через форму входа
WordPress отображает разные сообщения, когда вы пытаетесь войти в систему, в зависимости от того, существует ли введенное имя пользователя в базе данных или нет. У хакеров есть инструменты, которые они могут использовать для загрузки списка возможных имен пользователей, чтобы найти реальное, основываясь на подсказке, которую они получают из WordPress.
Как предотвратить перечисление пользователей
Вы можете остановить перечисление пользователей либо с помощью плагина, либо вручную вставив фрагмент кода в файлы WordPress. Мы не рекомендуем ручной метод, потому что это очень рискованно. Малейшая ошибка может сломать ваш сайт. Тем не менее, мы подробно опишем шаги для обоих.
Загрузите и установите плагин Stop User Enumeration
Как следует из названия, вы можете установить этот плагин для защиты вашего сайта от перечисления пользователей. Его можно найти в репозитории WordPress. Кроме того, вы можете использовать этот плагин для регистрации IP-адресов, которые пытаются перечислить пользователей на вашем сайте. Если на вашем веб-сайте установлен брандмауэр, добавьте эти адреса в список IP-адресов, которые блокирует брандмауэр.
Блокировать перечисление пользователей вручную
-
- Сначала создайте резервную копию вашего сайта WordPress.
- Войдите в свою учетную запись хостинга и перейдите в cPanel> File Manager.
- Откройте папку public_html, перейдите к wp-content и получите доступ к папке вашей темы. Вы должны выбрать тему, которая активна на вашем сайте.
- Теперь вы можете получить доступ к файлу function.php вашей темы. Щелкните правой кнопкой мыши и отредактируйте этот файл.
- Введите следующий код: / *** Блокировать перечисление пользователей * / function kl_block_user_enumeration_attempts () {if (is_admin ()) return; $ author_by_id = (isset ($ _REQUEST ['author']) && is_numeric ($ _REQUEST ['author') ])); if ($ author_by_id) wp_die ('Авторские архивы отключены.');} add_action ('template_redirect', 'kl_block_user_enumeration_attempts');
- Выйдите и сохраните изменения.
Перечисление пользователей теперь будет заблокировано на вашем сайте.
Примечание. Мы рекомендуем не использовать этот метод, если вы не уверены в своих технических навыках.