관리자 계정 보안-사용자 이름 검색

9

우리는 했어 제한 로그인 시도 이제 몇 주에 대한 설치 및 WP - 관리자 / WP-로그인에서 발생하는 브 루트 포스 시도의 수는 매우 놀랍습니다. 처음에는이 사이트에 존재하지 않는 "Admin"이라는 사용자 이름으로 모든 시도를했기 때문에 성가신 것으로 생각했지만 그다지 큰 위협은 아닙니다. 그러나 이제 우리는 다른 명명 된 관리자 계정에서 잠금이 발생하는 것을보고 있으며 공격자가 이러한 계정의 사용자 이름을 추론하는 방법에 대한 이해가 완전히 상실되고 있습니다.

당사 사이트의 어떤 컨텐츠도 특정인이 작성하지 않았으며이 사용자 이름이 공개적으로 게시 된 사이트의 다른 위치를 찾을 수 없습니다.

사용자 이름을 검색 할 수있는 방법에 대한 아이디어가 있습니까?

admin  wp-admin  security 
사용자 20814
소스

답변:

9

퍼머 링크를 꽤 활성화 한 경우 WordPress는 /?author=1사용자 이름을 사용하여 모든 통화를 작성자 아카이브로 리디렉션합니다 ( 예 :) /author/bob/. 그러면 방문자가 저자 이름을 알게됩니다.

로그인 잠금을 사용 하면 플러그인이 계정을 재설정하지 않으며 IP 주소를 차단합니다.

푸시 아
소스
"로그인 시도 제한은 재 시도에 지정된 제한에 도달 한 후 인터넷 주소가 추가 시도를하지 못하도록 차단합니다 ..." 플러그인과 관련이 없지만 사용하지는 않습니다. 실패한 로그인과 관련된 IP 주소가 기록되고 구성 가능한 최대 시도 제한에 도달하면 주소가 차단됩니다. 또한 "로그인 잠금"은 2 년 동안 업데이트되지 않았습니다.
s_ha_dum
2

영리한 버거. 요청을 /? author =로 리디렉션하려고 생각합니다. 합리적으로 들리십니까? 다음과 같은 것 :

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
사용자 20814
소스
그것은 모호한 보안 입니다. 방문자가 사용자 이름을 알고 있는지 중요하지 않도록 사이트를 구성하는 것이 좋습니다. LLA 플러그인은이 필수 규칙을 어 기고 있습니다. 같은 방식으로 가지 마십시오.
fuxia
@toscho 당신은 정교한 수 있습니까? LLA 플러그인 이이 규칙을 완전히 위반한다고 생각하지 않습니다. x 로그인 시도가 실패한 후 IP 잠금을 시작하여 작동합니다. 그것은 않습니다 공격자가 사용자 이름을 알고있는 경우에도 작동합니다. 다른 무엇을 할 수 있습니까? 비밀번호 보호 wp-admin .... htaccess로 특정 IP 만 허용 ... 모든 사용자가 강력한 비밀번호를 가지고 있는지 확인하십시오 ...? 위의 모든 내용에 관계없이 벨트 벨트와 서스펜더 보호를위한 위의 리디렉션 옵션을 여전히 좋아합니다.
user20814
어쩌면 나는 이것을 잘못 기억한다. 일부 로그인 시도가 실패한 후 특정 사용자가 잠겨 있다는 인상을 받았습니다.
fuxia
사실, 네 말이 맞아 내가 틀렸다. 잠금은 사용자를 기반으로합니다.
user20814
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.