Имя пользователя и пароль администратора

Я использую плагин ceber security, который защищает мой сайт от вредоносных атак и т. д.

Я проверял сегодня, и было более 20 блокировок. Я проверил IP-адреса, и не было ни одного избирательного округа, они были со всего мира.

Единственное, что у них было общего, - это введенное имя пользователя, то есть одно из моих имен администратора.

Мне было интересно: а) как они это получили ... я предполагаю, что со страницы обновлены и т. д. у них есть какой-то способ найти из проверки источника?

B) как запретить публичное знание имен пользователей-администраторов ?

Также есть ли способ отделить внешний интерфейс от внутреннего, поэтому, если они вошли в систему, они не смогут получить доступ к внутреннему интерфейсу и внести изменения?

Любая помощь будет быть удивительным: -)

Ответы и комментарии:

Ну ... Если быть точным ... Это не совсем имя пользователя. Это слизень / никнейм. Но да - очень часто это совпадает с именем пользователя.
Создан 25-11-2018 09:51 Krzysiek Dróżdż

Спасибо за ваш ответ, Рик. Я набрал на mywebsite.com/?user=1 и был перенаправлен на мою домашнюю страницу. Я проверил элемент и не смог найти ничего, связанного с моим именем пользователя. это предполагает, что ваше выше исправление уже сделано? Я искал HTML на разных страницах и обнаружил, что на страницах продукта есть как минимум 4 ссылки на мое имя пользователя. некоторые появляются в коде, который импортируется из внешнего интерфейса, такого как шлюз с полосой оплаты. Ваше исправление будет работать для этого также?
Создан 25-11-2018 12:38 Paulmcf1987

Смотрите добавленную заметку к моему ответу.
Создан 25-11-2018 07:35 Rick Hellewell

Вот простой способ перечисления имен пользователей (с использованием стандартной установки WP): просто используйте URL-адрес, например, такой: https://www.example.com/?user=1. (Добавлено примечание: вам может понадобиться использовать фактический URL страницы / публикации, как в https://www.example.com/a-real-page?user=1.) Вы получите информацию об этой учетной записи пользователя ( первая учетная запись пользователя, которая будет пользователем уровня администратора), а затем вы можете начать грубый доступ. (При установке WP первым созданным пользователем является пользователь уровня администратора. Поэтому вполне вероятно, что приведенный выше URL даст вам имя пользователя с правами администратора.
И если вы используете xmlrpc.prg, который разрешает несколько запросов на один запрос, вы можете сделать это еще быстрее.
Вот как вы можете предотвратить перечисление пользователей:
function redirect_to_home_if_author_parameter () {
      $ is_author_set = get_query_var ('author', '');
      if ($ is_author_set! = '' &&! is_admin ()) {
            wp_redirect (home_url (), 301);
            выход;
      }
}
add_action ('template_redirect', 'redirect_to_home_if_author_parameter');

Это перенаправит любые запросы на перечисление пользователей (URL, который я упомянул), если вы уже не вошли как администратор.
И еще одна мера предосторожности - отключить xmlrpc.prg. И чтобы не было пользователя с именем 'admin' (или, если вы это сделаете, измените его на уровень без прав администратора).
Отключите xmlrpc.prg (у которого есть много возможностей для взлома вашего сайта) с помощью этого:
add_filter ('xmlrpc_enabled', '__return_false');

Поместите оба фрагмента кода в файл functions.php (желательно в вашей детской теме). Или вы можете создать простой плагин с кодом выше.
Подробнее о проблеме перечисления пользователей в моем блоге здесь.
Создан 25-11-2018 07:06