¿Cómo pueden los piratas informáticos acceder a los nombres de usuario de WordPress? [duplicar]

Question

¿Cómo pueden los piratas informáticos acceder a los nombres de usuario de WordPress? [duplicar]

#1 de Rоry McCune (3 votos)
#2 de Abe Miessler (1 votos)
#3 de user3430800 (0 votos)

1

Recientemente he tenido intentos de ataques de fuerza bruta en algunos de mis sitios de WordPress y los atacantes están usando nombres de usuario reales distintos del administrador predeterminado (que se eliminó).

¿Cómo es posible que conozcan los nombres de usuario en la base de datos de un sitio sin privilegios de administrador? (asumiendo que no lo obtuvieron de mí directamente usando malware)

¿Cuáles son las formas de evitar que esto suceda?

btw: todos mis sitios usan la versión actual de WordPress.

¡Gracias por tu ayuda!

attacks brute-force user-names wordpress

pregunta Ray3400 12.06.2015 - 20:37

fuente

3 respuestas

Lea otras preguntas en las etiquetas attacks brute-force user-names wordpress

Mover / tmp a un tmpfs encriptado ¿El cifrado AES 256 admite una clave maestra y las claves generadas (bombardeadas por el tiempo)?

score 3 · Answer 1

3

Hay herramientas de código abierto como wpscan , que permiten la enumeración de los nombres de usuario de wordpress.

Para detenerlo, puedes probar algo como este complemento de WordPress que dice ser capaz de detener el nombre de usuario de wpscan enumeración

respondido por el Rоry McCune 12.06.2015 - 20:45

fuente

score 1 · Answer 2

No estoy seguro de cómo está configurado su sitio, pero una cosa para verificar dos veces es que los nombres que se publican junto con las publicaciones del blog no son los mismos que los identificadores de inicio de sesión de los carteles.

No estoy seguro de si todavía es posible, pero en algún momento fue posible enumerar usuarios simplemente marcando cada autor:

myWordPressSite.com/?author=1
myWordPressSite.com/?author=2
...

No uso wordpress lo suficiente para saber si esto todavía es posible, pero no estaría mal para ver si esto funciona en su sitio y si lo hace, lo bloquearía.

score 0 · Answer 3

Puedo sugerirle que actualice su versión de wordpress, actualice su plantilla, sus complementos y cambie la contraseña de todos los administradores.

Otra cosa es que puedes instalar los complementos 'WordPress Security', Wordfence (preventándote y prohibiendo la ip de los atacantes después de 1-3 contraseñas falsas y sesiones de forzamiento bruto).