如何阻止黑客在WordPress網站上發現用戶名和密碼
您是否擔心黑客會在您的WordPress網站上發現用戶名並獲得訪問權限?如果不是,那麼應該這樣做,因為掃描站點以發現用戶名是黑客的標準策略。
當黑客發現您的WordPress網站上使用的真實用戶名時,他們可以使用蠻力和字典攻擊來破解密碼來訪問該網站。從那裡,他們可以直接控制您的網站並造成各種麻煩,例如竊取數據,將訪問者重定向到裝載了惡意軟件的假網站,發送垃圾郵件等。
在本文中,我們將討論如何防止這種情況。
要學習如何捍衛我們的Word Press網站,我們必須首先了解什麼是用戶枚舉,因為它可能增加在您的網站上成功進行暴力攻擊的機率。
Table of Contents
什麼是用戶枚舉?
用戶名枚舉是黑客用來查找WordPress網站用戶的方法。他們可以掃描目標WordPress網站並收集用戶憑據,然後將其用於嘗試登錄。
所有用戶憑據都存儲在WordPress站點數據庫中,但是黑客通常不必訪問您的數據庫,也無法查看它們。黑客通常試圖通過查看WordPress網站上的作者姓名和電子郵件地址來發現用戶憑據,但是用戶枚舉有幾種類型,我們需要仔細研究所有這些內容,以了解如何最好地防禦它們。
通過訪問作者檔案
WordPress網站上的每個用戶都有一個特定的ID,WordPress將其存儲在作者檔案中。作者檔案庫實際上是根據創建者的頁面和帖子進行分類的。黑客可以在您的WordPress網站上運行唯一的腳本,以訪問作者檔案視圖用戶ID。由此,他們可以發現鏈接到用戶ID的用戶名。
通過登錄表格
每當您嘗試登錄時,WordPress都會顯示不同的消息,具體取決於輸入的用戶名是否存在於數據庫中。黑客擁有可用來加載可能的用戶名列表的工具,這些工具可根據他們從WordPress獲得的提示來查找真實的用戶名。
如何防止用戶枚舉
您可以通過使用插件或將代碼片段手動插入WordPress文件來停止用戶枚舉。我們不建議使用手動方法,因為它極具風險。絲毫的失誤可能會破壞您的網站。但是,我們將詳細介紹這兩個步驟。
下載並安裝停止用戶枚舉插件
顧名思義,您可以安裝此插件來保護您的網站免受用戶枚舉的侵害。可以在WordPress存儲庫中找到。另外,您可以使用此插件記錄試圖枚舉站點上用戶的IP地址。假設您的網站上安裝了防火牆,請將這些地址添加到防火牆阻止的IP地址列表中
手動阻止用戶枚舉
-
- 首先,備份您的WordPress網站。
- 登錄到您的託管帳戶,然後導航至cPanel>文件管理器。
- 打開public_html文件夾,導航到wp-content並訪問主題的文件夾。您必須選擇您網站上活動的主題。
- 現在,您可以訪問主題的function.php文件。右鍵單擊並編輯此文件。
- 輸入以下代碼: / ***阻止用戶枚舉* / function kl_block_user_enumeration_attempts(){if(is_admin())return; $ author_by_id =(isset($ _REQUEST ['author'])&& is_numeric($ _REQUEST ['author' ])); if($ author_by_id)wp_die('作者檔案已被禁用。');} add_action('template_redirect','kl_block_user_enumeration_attempts');
- 退出並保存更改。
用戶枚舉現在將在您的網站上被阻止。
注意:如果您對自己的技術技能沒有信心,我們建議您不要使用此方法。