it-swarm.com.de

Admin Benutzername und Passwort

Ich benutze das Ceber Security Plugin, das meine Seite vor böswilligen Angriffen etc. schützt.

Ich habe heute nachgesehen und es gab über 20 Aussperrungen. Ich habe die IP-Adressen überprüft und es gab keine Wahlkreise aus der ganzen Welt.

Das eine, was sie gemeinsam hatten, war der Benutzername, den sie eingegeben hatten, dh einer meiner Admin-Benutzernamen.

Ich habe mich gefragt, A) wie sie darauf gekommen sind ... ich gehe davon aus, dass die Seite aktualisiert wurde usw. Sie haben eine Möglichkeit, anhand der Quellenprüfung herauszufinden?

B) Wie kann verhindert werden, dass Benutzernamen von Administratoren öffentlich bekannt werden?

Gibt es auch eine Möglichkeit, das Front-End vom Back-End zu trennen, sodass sie nicht auf das Back-End zugreifen und Änderungen vornehmen können, wenn sie angemeldet sind?

Jede Hilfe wäre unglaublich :-)

1
Paulmcf1987

Hier ist eine einfache Methode zum Auflisten von Benutzernamen (mithilfe der Standardinstallation von WP): Verwenden Sie einfach eine URL wie die folgende: https://www.example.com/?user= 1 . ( Hinzugefügt Hinweis: Möglicherweise müssen Sie eine tatsächliche Seiten-/Post-URL verwenden, wie in https://www.example.com/a -real-page? user = 1 .) Sie erhalten Informationen zu diesem Benutzerkonto (das erste Benutzerkonto, bei dem es sich um den Benutzer auf Administratorebene handelt), und können dann beginnen brachialer Zugriff. (Bei einer WP -Installation ist der zuerst erstellte Benutzer ein Benutzer auf Administratorebene. Daher wird Ihnen über die oben angegebene URL wahrscheinlich der Benutzername des Administrators angezeigt.

Und wenn Sie xmlrpc.prg verwenden, wodurch mehrere Anforderungen für dieselbe Anforderung zulässig sind, können Sie dies noch schneller tun.

So verhindern Sie die Benutzeraufzählung:

function redirect_to_home_if_author_parameter() {
      $is_author_set = get_query_var( 'author', '' );
      if ( $is_author_set != '' && !is_admin()) {
            wp_redirect( home_url(), 301 );
            exit;
      }
}
add_action( 'template_redirect', 'redirect_to_home_if_author_parameter' );

Dadurch werden alle Benutzerauflistungsanforderungen (die von mir angegebene URL) umgeleitet, sofern Sie nicht bereits als Administrator angemeldet sind.

Eine weitere Vorsichtsmaßnahme besteht darin, xmlrpc.prg zu deaktivieren. Und um keinen Benutzer mit dem Namen "admin" zu haben (oder wenn Sie dies tun, ändern Sie ihn in eine Nicht-Administrator-Ebene).

Deaktivieren Sie xmlrpc.prg (das viele Möglichkeiten zum Hacken Ihrer Website bietet) mit folgendem Befehl:

add_filter('xmlrpc_enabled', '__return_false');

Platzieren Sie beide Codefragmente in Ihrer functions.php (vorzugsweise in Ihrem Child Theme). Oder Sie können ein einfaches Plugin mit dem obigen Code erstellen.

Mehr zum Problem der Benutzeraufzählung in meinem Blog hier .

2
Rick Hellewell