Sécurisation des comptes d'administrateur - Découverte du nom d'utilisateur

9

Nous avons Limit le nombre de tentatives de connexion installé depuis quelques semaines et le nombre de tentatives brute forcer les tentatives sur wp-admin / wp-login est plutôt surprenant. Au début, les tentatives portaient toutes le nom d'utilisateur "Admin", qui n'existe pas sur notre site. Je l'ai donc considéré comme une gêne, mais pas vraiment comme une menace. Cependant, des verrouillages se produisent maintenant avec d'autres comptes d'utilisateurs nommés et je ne comprends vraiment pas comment les attaquants déduisent le nom d'utilisateur de ces comptes.

Aucun contenu sur notre site n'a été créé par une personne en particulier et je ne trouve aucun autre emplacement sur notre site où ces noms d'utilisateurs sont publiés.

Avez-vous une idée de la façon dont les noms d'utilisateur pourraient être découverts?

    
posée user20814 25.09.2012 - 16:49

2 réponses

9

Si vous avez de jolis permaliens activés, WordPress redirigera tous les appels vers /?author=1 vers l'archive de l'auteur avec le nom d'utilisateur, par exemple: /author/bob/ . Et puis le visiteur connaîtra le nom de l'auteur.

Utilisez Login Lockdown , ce plug-in ne réinitialise pas les comptes, il bloquera les adresses IP.

    
réponse donnée fuxia 25.09.2012 - 16:57
2

Buggers astucieux. Je pense que je vais simplement rediriger les demandes vers /? Author =. Cela vous semble raisonnable? Quelque chose comme:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
    
réponse donnée user20814 25.09.2012 - 17:44

Lire d'autres questions sur les étiquettes