黑客如何访问WordPress用户名?
黑客如何访问WordPress用户名?
提问于 2015-06-12 18:37:57
最近,我在我的一些WordPress站点上进行了强力攻击,攻击者使用的是实际用户名,而不是默认的管理员(已删除)。
如果没有管理员权限,他们怎么可能知道站点数据库中的用户名呢?(假设他们没有直接从我那里获得恶意软件)
有什么方法可以防止这种情况发生?
顺便说一句:我所有的网站都使用当前版本的WordPress。
谢谢你的帮忙!
回答 3
Security用户
发布于 2015-06-12 18:45:30
有些开放源码工具,如wpscan,允许枚举wordpress用户名。
要停止它,您可以尝试类似于这样的WordPress插件,它声称能够停止wpscan的用户名枚举
Security用户
发布于 2015-06-12 18:50:43
我不知道你的网站是如何配置的--但有一件事要反复检查,那就是,与博客帖子一起张贴的名字与海报登录id不一样。
我不确定它是否仍然可行,但有一段时间,只需在每个作者中间滴答滴答,就可以枚举用户:
myWordPressSite.com/?author=1
myWordPressSite.com/?author=2
... 我没有足够的使用wordpress知道这是否仍然是可能的,但它不会伤害,看看这是否在你的网站上工作,如果它真的,我会锁定它。
Security用户
发布于 2015-06-25 06:49:48
我可以建议您更新您的版本wordpress,更新您的模板,您的插件和更改所有管理员的密码。
另一件事,你可以安装插件'WordPress安全‘,Wordfence (在1-3错误密码和强暴会话后禁止攻击者的ip )。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/91521
复制相关文章
相似问题
腾讯云开发者
