如何阻止黑客在WordPress网站上发现用户名和密码

您是否担心黑客会在您的WordPress网站上发现用户名并获得访问权限？如果不是，那么应该这样做，因为扫描站点以发现用户名是黑客的标准策略。

当黑客发现您的WordPress网站上使用的真实用户名时，他们可以使用蛮力和字典攻击来破解密码来访问该网站。从那里，他们可以直接控制您的网站并造成各种麻烦，例如窃取数据，将访问者重定向到装载了恶意软件的假网站，发送垃圾邮件等等。
在本文中，我们将讨论如何防止这种情况。

要学习如何捍卫我们的Word Press网站，我们必须首先了解什么是用户枚举，因为它可能增加在您的网站上成功进行暴力攻击的几率。

什么是用户枚举？

用户名枚举是黑客用来查找WordPress网站用户的方法。他们可以扫描目标WordPress网站并收集用户凭据，然后将其用于尝试登录。

所有用户凭据都存储在WordPress站点数据库中，但是黑客通常不必访问您的数据库，也无法查看它们。黑客通常试图通过查看WordPress网站上的作者姓名和电子邮件地址来发现用户凭据，但是用户枚举有几种类型，我们需要仔细研究所有这些信息，以了解如何最好地防御它们。

通过访问作者档案

WordPress网站上的每个用户都有一个特定的ID，WordPress将其存储在作者档案中。作者档案库实际上是根据创建者的页面和帖子进行分类的。黑客可以在您的WordPress网站上运行唯一的脚本，以访问作者档案视图用户ID。由此，他们可以发现链接到用户ID的用户名。

通过登录表单

每当您尝试登录时，WordPress都会显示不同的消息，具体取决于输入的用户名是否存在于数据库中。黑客拥有可用来加载可能的用户名列表的工具，这些工具可根据他们从WordPress获得的提示来查找真实的用户名。

如何防止用户枚举

您可以通过使用插件或将代码片段手动插入WordPress文件来停止用户枚举。我们不建议使用手动方法，因为它极具风险。丝毫的错误可能会破坏您的网站。但是，我们将详细介绍这两个步骤。

下载并安装停止用户枚举插件

顾名思义，您可以安装此插件来保护您的网站免受用户枚举的侵害。可以在WordPress存储库中找到。另外，您可以使用此插件记录试图枚举站点上用户的IP地址。假设您的网站上安装了防火墙，请将这些地址添加到防火墙阻止的IP地址列表中

手动阻止用户枚举

1. 1. 首先，备份您的WordPress网站。
   2. 登录到您的托管帐户，然后导航至cPanel>文件管理器。
   3. 打开public_html文件夹，导航到wp-content并访问主题的文件夹。您必须选择您网站上活动的主题。
   4. 现在，您可以访问主题的function.php文件。右键单击并编辑此文件。
   5. 输入以下代码： / ***阻止用户枚举* / function kl_block_user_enumeration_attempts（）{if（is_admin（））return; $ author_by_id =（isset（$ _REQUEST ['author']）&& is_numeric（$ _REQUEST ['author' ]））; if（$ author_by_id）wp_die（'作者档案已被禁用。'）;} add_action（'template_redirect'，'kl_block_user_enumeration_attempts'）;
   6. 退出并保存更改。

用户枚举现在将在您的网站上被阻止。

注意：如果您对自己的技术技能没有信心，我们建议您不要使用此方法。