Sécurisation des comptes d'administrateur - Découverte du nom d'utilisateur

Nous avons installé Limit Login Attempts depuis quelques semaines maintenant, et le nombre de tentatives de force brute sur wp-admin / wp-login est assez étonnant. Au début, les tentatives étaient toutes avec le nom d'utilisateur "Admin", qui n'existe pas sur notre site, donc je l'ai considéré comme une gêne mais pas vraiment une menace. Cependant, nous voyons maintenant des verrous se produire avec d'autres comptes d'utilisateurs administrateurs nommés et je ne comprends absolument pas comment les attaquants déduisent les noms d'utilisateur de ces comptes.

Aucun contenu sur notre site n'est rédigé par quelqu'un en particulier et je ne trouve aucun autre emplacement sur notre site où ces noms d'utilisateur sont publiquement publiés.

Une idée de la façon dont les noms d'utilisateur peuvent être découverts?

admin wp-admin security user20814
la source

Réponses:

Si vous avez de jolis permaliens permis WordPress rediriger tous les appels vers /?author=1l'archive auteur avec le nom d'utilisateur, par exemple .: /author/bob/. Et puis le visiteur connaîtra le nom de l'auteur.

Utilisez Login Lockdown , ce plugin ne réinitialise pas les comptes, il bloquera les adresses IP.

fuxia
la source

"Limiter les tentatives de connexion empêche une adresse Internet de faire d'autres tentatives après qu'une limite spécifiée de tentatives est atteinte ..." Je ne suis pas affilié au plugin mais je l'utilise et c'est exactement ce qu'il semble faire. L'adresse IP associée à un échec de connexion est enregistrée et l'adresse est bloquée si une limite de tentative maximale configurable est atteinte. De plus, "Verrouillage de connexion" n'a pas été mis à jour depuis deux ans.

s_ha_dum

Bougons intelligents. Je pense que je vais juste rediriger les demandes vers /? Author =. Cela semble raisonnable? Quelque chose comme:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}

user20814
la source

Ce serait la sécurité par l'obscurité . Il est préférable de configurer votre site de sorte que peu importe si un visiteur connaît votre nom d'utilisateur. Les plugins LLA enfreignent cette règle essentielle; ne va pas de la même façon.

fuxia

@toscho pouvez-vous élaborer? Je ne pense pas que le plugin LLA enfreigne complètement cette règle. Il fonctionne en initiant un verrouillage IP après l'échec de x tentatives de connexion. Il ne fonctionne même quand un attaquant connaît le nom d'utilisateur. Que peut-on faire d'autre? Mot de passe protéger wp-admin ... ajouter à la liste blanche seulement certains ip avec .htaccess ... s'assurer que tous les utilisateurs ont des mots de passe forts ...? Indépendamment de tout / de tout ce qui précède, j'aime toujours l'option de redirection ci-dessus pour la protection des ceintures et des bretelles.

user20814

Je me souviens peut-être de ce mal. J'ai eu l'impression qu'un certain utilisateur sera verrouillé après quelques tentatives de connexion infructueuses.

fuxia

En fait, merde tu as raison. Je me suis mal exprimée. Le verrouillage est basé sur l'utilisateur.

user20814