Вопрос или проблема
У меня есть сайт, на котором я разработал самодельную тему с нуля и с использованием Bootstrap. Все работает хорошо, но Wordfence сообщает о множестве попыток входа от хакеров, использующих имя пользователя администратора (я не использую admin в качестве имени пользователя и не использую ID пользователя 1).
Как они узнали имена пользователей? Как я могу заблокировать их от получения имен пользователей?
Я читал, что это не должно быть большой проблемой, потому что я использовал очень надежные пароли (по данным Wordfence), но мне было бы лучше, если бы они не знали имена пользователей.
Спасибо.
JSON API позволит перечислить авторов (и имена пользователей) для сайта WordPress. Вы не можете это отключить.
Чтобы защитить себя, вам следует:
- Использовать надежные пароли (вы уже это делаете)
- Использовать двухфакторную аутентификацию (либо с помощью разработанной сообществом двухфакторной, либо с помощью собственного решения WordFence)
- Использовать плагин, такой как Jetpack, который также поддерживает защиту от грубой силы
Нападающие, перечисляющие пользователей и пытающиеся найти способ взлома, всегда будут вам противостоять. Дело заключается в усилении защиты вашего сервера, чтобы удержать нападающих на расстоянии.
Вы также можете использовать такие инструменты, как сканер WPScan, чтобы увидеть, есть ли у ваших сайтов уязвимости и как именно нападающие перечисляют пользователей.
Ответ или решение
Когда речь заходит о безопасности вашего сайта на WordPress, особенно если вы разработали собственную тему, важно понимать, как злоумышленники могут осуществлять атаки. Рассмотрим, как они могут узнать ваши имена пользователей и как вы можете защитить свой сайт от таких угроз.
Причины Угроз
Злоумышленники часто используют различные методы для обнаружения имен пользователей на WordPress-сайтах. Самым распространенным способом является:
-
API JSON и Ручное Перечисление: Стандартное API WordPress позволяет злоумышленникам запрашивать список авторов (в том числе и имена пользователей). Это делается через запросы, которые возвращают данные о пользователях вашего сайта, делая возможным легкое обнаружение администраторов и редакторов.
-
Сканирование веб-сайтов: Злоумышленники используют автоматизированные инструменты для сканирования сайтов. Они могут находить общедоступные данные, такие как комментарии, которые часто включают ссылки на имена пользователей.
-
Сигналы из контента: Если на вашем сайте есть разделы для комментариев или отзывы, в них злоумышленники могут найти имена пользователей, использующих их на самом сайте.
Рекомендации по Защите
Чтобы предотвратить возможность выявления ваших имен пользователей и, таким образом, снизить риск взлома, следует применить несколько стратегий:
-
Сильные Пароли: Несмотря на то, что вы уже используете сложные пароли, это всегда актуально. Убедитесь, что все учетные записи на вашем сайте имеют уникальные и сложные пароли, состоящие из различных символов, цифр и букв.
-
Двухфакторная Аутентификация (2FA): Использование 2FA значительно повышает безопасность ваших учетных записей. Вы можете воспользоваться плагинами, такими как Two-Factor или Wordfence, которые помогают интегрировать двухфакторную аутентификацию.
-
Защита от Брутфорса: Установите плагины, вроде Jetpack, которые предлагают функционал защиты от брутфорс-атак. Эти плагины могут блокировать IP-адреса, которые пытаются многократно войти, и уведомлять вас о подозрительной активности.
-
Скрытие Административной Папки: Измените URL для страницы входа в админ-панель WordPress, используя плагины, такие как WPS Hide Login. Это затруднит злоумышленникам доступ к вашей админ-панели.
-
Защита от Перечисления Пользователей: Установите плагины, которые помогут скрыть имена пользователей. Например, вы можете использовать плагин WPHide, который затрудняет злоумышленникам поиск имен пользователей.
-
Мониторинг уязвимостей: Используйте инструменты, такие как WPScan, чтобы регулярно проверять ваш сайт на наличие уязвимостей и понимать, как именно злоумышленники могут пытаться атаковать вас.
Заключение
Защита вашего WordPress веб-сайта требует постоянного внимания и проактивных действий. Учитывая, что злоумышленники постоянно ищут новые методы атаки, требуется регулярное обновление подходов к безопасности. Применение вышеуказанных рекомендаций могут существенно увеличить вашу защиту и уменьшить шансы на успешный взлом. Помните, безопасность — это не разовое действие, а непрерывный процесс, требующий регулярных проверок и обновлений.