Protección de cuentas de administrador: descubrimiento de nombre de usuario

9

Hemos tenido intentos de inicio de sesión limitados instalados desde hace algunas semanas, y la cantidad de intentos de fuerza bruta que ocurren en wp-admin / wp-login es bastante sorprendente. Al principio, todos los intentos fueron con el nombre de usuario "Admin", que no existe en nuestro sitio, así que lo consideré una molestia pero no una gran amenaza. Sin embargo, ahora estamos viendo bloqueos que ocurren con otras cuentas de usuario administrador nombradas y no entiendo completamente cómo los atacantes deducen los nombres de usuario de estas cuentas.

Ningún contenido en nuestro sitio es creado por nadie en particular y no puedo encontrar ninguna otra ubicación en nuestro sitio donde estos nombres de usuario se publiquen públicamente.

¿Alguna idea de cómo se pueden descubrir los nombres de usuario?

admin  wp-admin  security 
usuario20814
fuente

Respuestas:

9

Si usted tiene enlaces permanentes bonitas permitido WordPress redirigir todas las llamadas a /?author=1al archivo de autor con el nombre de usuario, por ejemplo .: /author/bob/. Y luego el visitante sabrá el nombre del autor.

Use Login Lockdown , ese complemento no restablece las cuentas, bloqueará las direcciones IP.

fuxia
fuente
"Los intentos de inicio de sesión con límite impiden que una dirección de Internet realice más intentos una vez que se alcanza un límite específico de reintentos ..." No estoy afiliado con el complemento, pero lo uso y eso es exactamente lo que parece hacer. La dirección IP asociada con un inicio de sesión fallido se registra y la dirección se bloquea si se alcanza un límite de intento máximo configurable. Además, "Bloqueo de inicio de sesión" no se ha actualizado en dos años.
s_ha_dum
2

Buggers inteligentes. Creo que solo voy a redirigir las solicitudes a /? Author =. ¿Suena razonable? Algo como:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
usuario20814
fuente
Eso sería Seguridad por Oscuridad . Es mejor configurar su sitio para que no importe si un visitante conoce su nombre de usuario. Los complementos de LLA están rompiendo esta regla esencial; No sigas el mismo camino.
fuxia
@toscho puedes elaborar? No creo que el complemento LLA rompa por completo esta regla. Funciona iniciando un bloqueo de IP después de x intentos fallidos de inicio de sesión. Que no funciona incluso cuando un atacante conoce el nombre de usuario. Qué más se puede hacer? Proteger con contraseña wp-admin ... incluir en la lista blanca solo ciertas IP con .htaccess ... ¿asegurarse de que todos los usuarios tengan contraseñas seguras ...? Independientemente de cualquiera / todo lo anterior, todavía me gusta la opción de redireccionamiento anterior para la protección de cinturones y tirantes.
user20814
Tal vez recuerdo esto mal. Tuve la impresión de que cierto usuario será bloqueado después de algunos intentos fallidos de inicio de sesión.
fuxia
En realidad, mierda, tienes razón. Yo hablo mal. El bloqueo se basa en el usuario.
user20814
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.