सुरक्षित व्यवस्थापक खाते - उपयोगकर्ता नाम खोज

9

अब हमारे पास कुछ हफ्तों के लिए लिमिट लॉगिन प्रयास स्थापित हो गए हैं, और wp-admin / wp-login पर होने वाले क्रूर बल प्रयासों की संख्या बहुत अद्भुत है। पहले प्रयास में उपयोगकर्ता नाम "व्यवस्थापक" के साथ थे, जो हमारी साइट पर मौजूद नहीं है, इसलिए मैंने इसे एक झुंझलाहट माना, लेकिन बहुत ज्यादा खतरा नहीं था। हालाँकि, अब हम अन्य नामित व्यवस्थापक उपयोगकर्ता खातों के साथ लॉकआउट देख रहे हैं और मुझे पूरी तरह से यह समझने में नुकसान हो रहा है कि हमलावर इन खातों के उपयोगकर्ता नाम कैसे घटा रहे हैं।

हमारी साइट पर कोई भी सामग्री किसी के द्वारा विशेष रूप से नहीं लिखी गई है और मुझे हमारी साइट पर कोई अन्य स्थान नहीं मिल सकता है जहाँ ये उपयोगकर्ता नाम सार्वजनिक रूप से प्रकाशित हों।

किसी भी विचार के रूप में कैसे उपयोगकर्ता नाम खोजे जा सकते हैं?

admin  wp-admin  security 
user20814
स्रोत

जवाबों:

9

यदि आपके पास बहुत पर्मालिंक्स सक्षम वर्डप्रेस के लिए सभी कॉल रीडायरेक्ट करेगा /?author=1उपयोगकर्ता नाम के साथ लेखक संग्रह, उदा .: लिए /author/bob/। और तब विजिटर को लेखक का नाम पता होगा।

लॉगिन लॉकडाउन का उपयोग करें , वह प्लगइन खातों को रीसेट नहीं करता है, यह आईपी पते को अवरुद्ध करेगा।

fuxia
स्रोत
"सीमा लॉग इन प्रयास एक इंटरनेट पते को फिर से प्रयास करता है जिससे कि रिट्रीस पर एक निर्दिष्ट सीमा तक पहुंचने के बाद आगे के प्रयास किए जा सकें ..." मैं प्लगइन से संबद्ध नहीं हूं, लेकिन इसका उपयोग करते हैं और यह वही है जो यह करना प्रतीत होता है। एक असफल लॉगिन से जुड़ा आईपी पता लॉग किया गया है और एक अधिकतम अधिकतम प्रयास सीमा तक पहुंचने पर पता अवरुद्ध हो जाता है। इसके अलावा, "लॉगिन लॉकडाउन" दो वर्षों में अपडेट नहीं किया गया है।
s_ha_dum
2

चतुर बुगड़े। मुझे लगता है कि मैं सिर्फ /? लेखक = के लिए अनुरोधों को पुनर्निर्देशित करने जा रहा हूं। उचित लगता है? कुछ इस तरह:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
user20814
स्रोत
यह अस्पष्टता से सुरक्षा होगी । अपनी साइट को कॉन्फ़िगर करने के लिए बेहतर है ताकि कोई फर्क न पड़े कि कोई आगंतुक आपके उपयोगकर्ता नाम को जानता है। LLA प्लगइन्स इस आवश्यक नियम को तोड़ रहा है; उसी तरह मत जाओ।
FUXIA
@toscho क्या आप विस्तृत कर सकते हैं? मुझे नहीं लगता कि LLA प्लगइन इस नियम को पूरी तरह से तोड़ देता है। यह x विफल लॉगिन प्रयासों के बाद IP लॉकआउट आरंभ करके काम करता है। यह तब भी काम करता है जब कोई हमलावर उपयोगकर्ता का नाम जानता है। और क्या किया जा सकता है? पासवर्ड wp-admin की रक्षा करें ... श्वेतसूची केवल कुछ IP के साथ .htaccess ... सुनिश्चित करें कि सभी उपयोगकर्ताओं के पास मजबूत पासवर्ड हैं ...? उपरोक्त किसी भी / सभी के बावजूद, मैं अभी भी बेल्ट-और-सस्पेंडर्स सुरक्षा के लिए उपरोक्त पुनर्निर्देशन विकल्प को पसंद करता हूं।
user20814
शायद मुझे यह गलत याद है। मुझे आभास था कि कुछ विफल लॉग-इन प्रयासों के बाद एक निश्चित उपयोगकर्ता लॉक हो जाएगा।
FUXIA
वास्तव में, बकवास आप सही हैं। मुझे याद आती है। तालाबंदी उपयोगकर्ता पर आधारित है।
user20814
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.