web-dev-qa-db-ja.com

管理者アカウントの保護 - ユーザー名検出

ここ数週間で ログイン試行回数の制限 がインストールされましたが、wp-admin/wp-loginで総当たり攻撃の試行回数はかなり驚くべきものです。私たちのサイトには存在しない「Admin」というユーザー名を使った試みはすべて最初の試みだったので、私はそれを厄介だと考えていましたが、それほど大きな脅威ではありませんでした。しかし、現在、他の名前付きの管理ユーザーアカウントでロックアウトが発生しており、攻撃者がこれらのアカウントのユーザー名をどのように推測しているのか完全に理解できていません。

私たちのサイトのコンテンツは特に誰によっても作成されていません。私はこれらのユーザー名が公に公表されている私たちのサイトの他の場所を見つけることができません。

ユーザー名をどのように見つけられるかについてのアイデアはありますか?

9
user20814

かなりパーマリンクが有効になっている場合、WordPressは/?author=1へのすべての呼び出しをユーザー名を付けて作成者アーカイブにリダイレクトします(例:/author/bob/)。そして、訪問者は作者の名前を知るでしょう。

ログインロックダウン を使用すると、プラグインはアカウントをリセットせず、IPアドレスをブロックします。

9
fuxia

賢いバガー。私は単にリクエストを/?author =にリダイレクトすることにしていると思います。合理的に聞こえますか?何かのようなもの:

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
2
user20814