Wordpress Brute Force Attacker conosce reale admin Nome utente -

Naviga le tue risposte
12

Ho notato un tentativo di forza bruta su diverse installazioni di Wordpress che conoscono il nome utente di amministrazione corretto per i rispettivi siti ...

Sembra molto strano che l'hacker sia in grado di trovare il nome utente ma non la password ... Inoltre, ho controllato queste build di Wordpress, e non vedo dove stiano perdendo queste informazioni ovunque - anche se è probabile che la risposta sia ...

Sebbene non sia preoccupato che l'attaccante possa passare attraverso una whitelist che ho già implementato, sono preoccupato che qualsiasi vettore utilizzato da questo hacker possa essere usato per ottenere informazioni più sensibili.

Grazie per eventuali suggerimenti -!

    
posta rm-vanda 27.08.2014 - 22:50
fonte

3 risposte

7

Ho notato anche questo e ho scritto un post sul blog qualche tempo fa: username wordpress perdite . Per riassumere:

Probabilmente la perdita è qui: example.com/author/user_nicename . Ad esempio, questa pagina può essere raggiunta tramite example.com/?author=1 .

WordPress ha tre campi relativi al nome utente nel database: username , nickname e user_nicename .

username è il nome con cui si effettua l'accesso, nickname è il nome che deve essere visualizzato e user_nicename è la versione slug di username , che viene utilizzata nel collegamento dell'autore.

Per risolvere il problema, puoi impostare user_nicename su nickname nel database.

    
risposta data 28.08.2014 - 12:08
fonte
5

Ho avuto lo stesso problema e ho bloccato le richieste per la scansione dell'autore con il seguente htaccess: 

# Stop Author Scanning
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
    
risposta data 10.06.2015 - 11:48
fonte
1

Di defualt I nomi utente di WordPress non sono un segreto in alcun modo. Come indicano le altre risposte, ci sono molti modi per trovare i nomi utente sia per URL che anche all'interno del contenuto della pagina stessa (nomi delle classi dell'autore).

Esistono numerosi metodi per nascondere i nomi utente e / o combattere gli attacchi di forza bruta, ma la semplice risposta alla tua domanda è che, a meno che tu non abbia fatto un po 'di tempo per bloccare i nomi utente da essere visibili, l'impostazione predefinita per WordPress è che i nomi utente sono non tenuto segreto e facilmente visibile.

    
risposta data 10.06.2015 - 15:01
fonte

Leggi altre domande sui tag

WPA2 Enterprise Dimensione della chiave di crittografia AES? cookie CSRF vs token basati su sessione