Wordpress Brute Force Attacker sabe el nombre de usuario del administrador real -

Navega tus respuestas
12

He notado un intento de fuerza bruta en varias instalaciones diferentes de Wordpress que conocen el nombre de usuario de administrador correcto para esos sitios respectivos ...

Parece muy extraño que el hacker pueda encontrar el nombre de usuario pero no la contraseña ... Además, he comprobado estas compilaciones de Wordpress y no veo dónde están filtrando esa información en ningún lado, aunque es probable que sea la respuesta ...

Si bien no me preocupa que el atacante lo logre gracias a una lista blanca que ya implementé, me preocupa que cualquier vector que esté utilizando este pirata informático pueda usarse para obtener información más confidencial.

Gracias por cualquier sugerencia -!

    
pregunta rm-vanda 27.08.2014 - 22:50
fuente

3 respuestas

7

También me di cuenta de esto y escribí una publicación en el blog sobre eso hace un tiempo: wordpress username fuga . Para resumir:

La fuga probablemente esté aquí: example.com/author/user_nicename . Por ejemplo, se puede acceder a esta página a través de example.com/?author=1 .

WordPress tiene tres campos relacionados con el nombre de usuario en la base de datos: username , nickname y user_nicename .

username es el nombre con el que inicias sesión, nickname es el nombre que se debe mostrar, y user_nicename es la versión de slug de username , que se usa en el enlace del autor.

Para solucionar esto, puedes establecer user_nicename a nickname en la base de datos.

    
respondido por el tim 28.08.2014 - 12:08
fuente
5

Tuve el mismo problema y bloqueé las solicitudes de escaneo del autor con el siguiente htaccess: 

# Stop Author Scanning
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
    
respondido por el Roger Burkhard 10.06.2015 - 11:48
fuente
1

Por defecto, los nombres de usuario de WordPress no son un secreto de ninguna manera. Como señalan las otras respuestas, hay muchas maneras de encontrar los nombres de usuario por URL o incluso dentro del contenido de la propia página (nombres de clase del autor).

Existen numerosos métodos para ocultar nombres de usuarios y / o luchar contra los ataques de fuerza bruta, pero la respuesta simple a tu pregunta es que, a menos que hayas intentado evitar que los nombres de usuario sean visibles, el valor predeterminado para WordPress es que los nombres de usuario son No se mantienen en secreto y son fácilmente visibles.

    
respondido por el KnightHawk 10.06.2015 - 15:01
fuente

Lea otras preguntas en las etiquetas

¿Es realmente necesario reforzar el servidor con grsecurity en el entorno CentOS 6.3? ¿Por qué EC2 no es vulnerable a VENOM?