Wordpressブルートフォース攻撃者は、実際の管理者ユーザー名を知っています-

Question

私は、いくつかの異なるWordpressインストールで、それらのそれぞれのサイトの適切な管理者ユーザー名を知っているインストール）に対するブルートフォースの試みに気づきました...

ハッカーがユーザー名を見つけることはできるがパスワードを見つけることができないのは非常に奇妙に思われます...さらに、私はこれらをチェックしましたWordpressビルド、およびそれらがどこでリークしているのかわかりませんどこでも情報-それはおそらく答えです...

私はすでに実装したホワイトリストのおかげで攻撃者が通り抜けることを心配していませんが、このハッカーが使用しているベクトルがより機密性の高い情報を入手するために使用されるのではないかと心配しています。

提案をありがとう-！

tim · Accepted Answer

リークはおそらくここにあります：example.com/author/user_nicename。このページには、たとえばexample.com/?author=1からアクセスできます。

WordPressのデータベースには、username、nickname、user_nicenameという3つのユーザー名関連フィールドがあります。

usernameはログインに使用する名前、nicknameは表示する名前、user_nicenameは使用されるusernameのスラッグバージョンです。著者リンク。

これを修正するには、データベースでuser_nicenameをnicknameに設定します。

Roger Burkhard · Answer

同じ問題が発生し、次のhtaccessで作成者のスキャン要求をブロックしました。

# Stop Author Scanning RewriteCond %{QUERY_STRING} (author=\d+) [NC] RewriteRule .* - [F]

Jan Dr&#225;bek · Answer

最近、ユーザー名の漏洩の異なる経路を発見しました。

デフォルトでは、酵母SEOプラグインはauthor-sitemap.xml著者リストで利用可能。この動作は、検索の外観->アーカイブでオフにできます。

KnightHawk · Answer

デフォルトではWordPressユーザー名は決して秘密ではありません。他の回答が指摘しているように、URLによって、またはページ自体のコンテンツ（作成者クラス名）の内部でさえ、ユーザー名を見つける方法はたくさんあります。

ユーザー名を非表示にしたり、ブルートフォース攻撃に対抗したりする方法は数多くありますが、質問に対する簡単な答えは、ユーザー名が表示されないようにある程度ブロックしていない限り、WordPressのデフォルトはそのユーザー名は秘密にされておらず、簡単に見ることができます。