Come possono gli hacker accedere ai nomi utente di WordPress? [duplicare]

Naviga le tue risposte
1

Recentemente ho avuto tentativi di attacco di forza bruta su alcuni dei miei siti WordPress e gli autori di attacchi utilizzano nomi utente reali diversi dall'amministratore predefinito (che è stato rimosso).

Come è possibile per loro conoscere i nomi utente nel database di un sito senza privilegi di amministratore? (supponendo che non l'abbiano ricevuto direttamente usando malware)

Quali sono i modi per evitare che ciò accada?

btw: tutti i miei siti utilizzano la versione corrente di WordPress.

Grazie per il tuo aiuto!

    
posta Ray3400 12.06.2015 - 20:37
fonte

3 risposte

3

Esistono strumenti open source come wpscan , che consentono l'enumerazione dei nomi utente wordpress.

Per fermarlo puoi provare qualcosa come questo plugin WordPress che afferma di essere in grado di fermare il nome utente di wpscan enumerazione

    
risposta data 12.06.2015 - 20:45
fonte
1

Non sono sicuro di come sia configurato il tuo sito, ma una cosa da verificare è che i nomi che vengono pubblicati insieme ai post del blog non sono uguali all'ID di accesso del poster.

Non sono sicuro che sia ancora possibile, ma una volta è stato possibile enumerare gli utenti semplicemente spuntando ogni autore: 

myWordPressSite.com/?author=1
myWordPressSite.com/?author=2
...

Non uso abbastanza wordpress per sapere se questo è ancora possibile, ma non mi farebbe male vedere se questo funziona sul tuo sito e se lo facessi lo chiuderei.

    
risposta data 12.06.2015 - 20:50
fonte
0

Posso suggerirti di aggiornare la tua versione wordpress, aggiornare il tuo modello, i tuoi plug-in e modificare la password di tutti gli amministratori.

Un'altra cosa, puoi installare plug-in 'WordPress Security', Wordfence (prevente te e bannato l'IP degli aggressori dopo 1-3 false password e sessione bruteforcing).

    
risposta data 25.06.2015 - 08:49
fonte

Leggi altre domande sui tag

La crittografia AES 256 supporta una chiave master e le chiavi generate (time-bombed)? La VPN della mia azienda è uguale a quella dei provider VPN di terze parti?