Protección de cuentas de administrador - Descubrimiento de nombre de usuario

Navega tus respuestas
9

Hemos tenido Limitar intentos de inicio de sesión durante algunas semanas y el número de brutos Los intentos forzados que ocurren en wp-admin / wp-login son bastante sorprendentes. Al principio, todos los intentos fueron con el nombre de usuario "Admin", que no existe en nuestro sitio, así que lo consideré una molestia pero no una gran amenaza. Sin embargo, ahora estamos viendo bloqueos con otras cuentas de usuario administrador nombradas y no entiendo cómo los atacantes están deduciendo los nombres de usuario de estas cuentas.

Ningún contenido en nuestro sitio es de autor de nadie en particular y no puedo encontrar ninguna otra ubicación en nuestro sitio donde estos nombres de usuario se publiquen públicamente.

¿Alguna idea de cómo se pueden descubrir los nombres de usuario?

    
pregunta user20814 25.09.2012 - 16:49

2 respuestas

9

Si tienes bastante permalinks habilitados, WordPress redireccionará todas las llamadas a /?author=1 al archivo del autor con el nombre de usuario, por ejemplo: /author/bob/ . Y luego el visitante sabrá el nombre del autor.

Utilice Bloqueo de inicio de sesión , ese complemento no restablece las cuentas, bloqueará las direcciones IP.

    
respondido por el fuxia 25.09.2012 - 16:57
2

Buggers inteligentes. Creo que solo voy a redirigir las solicitudes a /? Author =. ¿Suena razonable? Algo como: 

add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( 'url' ), 301 );
        exit;
    }       
}
    
respondido por el user20814 25.09.2012 - 17:44

Lea otras preguntas en las etiquetas

Mi página principal multisitio de wordpress redirige a la página de registro Actualizar complemento desde API personal