WordPress – это популярная система управления контентом (CMS), на которой работают миллионы веб-сайтов по всему миру. Однако, как и любая другая веб-платформа, она не застрахована от уязвимостей безопасности. Одной из таких уязвимостей является перечисление пользователей, которое позволяет злоумышленникам обнаружить действительные имена пользователей на сайте WordPress. В этой статье мы рассмотрим различные методы подсчета пользователей, предоставим примеры кода и обсудим лучшие практики по обеспечению безопасности вашего веб-сайта WordPress.
- Сообщения об ошибках входа в систему по умолчанию:
WordPress по умолчанию выдает различные сообщения об ошибках для неверных имен пользователей и паролей во время входа в систему. Злоумышленники могут воспользоваться этим, используя форму входа, чтобы определить, существует ли на сайте определенное имя пользователя. Чтобы устранить эту уязвимость, вы можете изменить сообщения об ошибках, добавив следующий код в файл function.php вашей темы:
function custom_login_errors() {
return 'Invalid username or password.';
}
add_filter('login_errors', 'custom_login_errors');- Архив автора:
WordPress создает авторские архивы для каждого пользователя с опубликованным сообщением. По умолчанию эти архивы отображают имя пользователя автора в URL-адресе, что позволяет злоумышленникам легко подсчитать имена пользователей. Чтобы предотвратить это, вы можете изменить структуру постоянной ссылки автора, добавив следующий код в файл function.php вашей темы:
function change_author_permalinks() {
global $wp_rewrite;
$wp_rewrite->author_base = 'profile';
}
add_action('init', 'change_author_permalinks');- Конечная точка XML-RPC:
WordPress имеет конечную точку XML-RPC, которая позволяет удаленную публикацию и другие функции. Злоумышленники могут использовать эту конечную точку для перебора имен пользователей с помощью методов грубой силы. Чтобы отключить XML-RPC, вы можете добавить следующий код в файл function.php вашей темы:
add_filter('xmlrpc_enabled', '__return_false');- REST API:
WordPress предоставляет мощный REST API, который можно использовать для получения информации о пользователе. Однако злоумышленники также могут злоупотребить этим для перечисления имен пользователей. Чтобы отключить перечисление пользователей через REST API, вы можете добавить следующий код в файл функции.php вашей темы:
add_filter('rest_endpoints', function ($endpoints) {
if (isset($endpoints['/wp/v2/users'])) {
unset($endpoints['/wp/v2/users']);
}
return $endpoints;
});- Атаки по времени на странице входа:
Злоумышленники могут проводить атаки по времени, чтобы определить существование действительных имен пользователей, измеряя время ответа страницы входа. Чтобы смягчить это, вы можете ввести случайную задержку в процессе входа в систему, добавив следующий код в файл function.php вашей темы:
function custom_login_delay() {
sleep(rand(1, 3));
}
add_action('wp_login', 'custom_login_delay');Рекомендации по защите вашего веб-сайта WordPress:
-
Поддерживайте актуальность WordPress и плагинов, чтобы иметь самые последние исправления безопасности.
-
Используйте надежные и уникальные имена пользователей и пароли для всех учетных записей пользователей.
-
Ограничьте попытки входа в систему, используя плагин или внедрив собственное решение.
-
Внедрите двухфакторную аутентификацию, чтобы добавить дополнительный уровень безопасности при входе пользователей.
-
Используйте надежный плагин безопасности WordPress для мониторинга и защиты вашего веб-сайта.
Перечисление пользователей — это потенциальная уязвимость безопасности в WordPress, которую злоумышленники могут использовать для сбора информации о действительных именах пользователей на веб-сайте. Следуя методам и рекомендациям, изложенным в этой статье, вы можете значительно снизить риск перебора пользователей и повысить безопасность вашего веб-сайта WordPress.
Не забывайте сохранять бдительность и регулярно проверять меры безопасности вашего веб-сайта, чтобы защититься от развивающихся угроз.