Saiba como proteger seus IDs de login do seu site WordPress
Um dos ataques mais comuns no WordPress é o brute-forcing. Nesse tipo de ataque, os hackers usam bots para tentar centenas de combinações de nomes de usuário e senhas para invadir seu site WordPress. No entanto, a força bruta não se limita apenas a bots. Existem certos métodos conhecidos que os invasores usam para encontrar o nome de usuário
Além disso, você deve saber que a enumeração de usuários é uma vulnerabilidade séria para seu site. Simplificando, um site que permite a enumeração de usuários permite hackers. Portanto, para manter seu site WordPress seguro, é importante interromper a Enumeração de usuários no WordPress.
Mas o que é enumeração de usuários tio HAD?
A enumeração do usuário é uma maneira de buscar dados do usuário do seu site por meio de scripts mal-intencionados. Embora o hacker possa buscar apenas os detalhes do nome de usuário com isso, ainda é um risco sério. Saber o nome de usuário é metade do trabalho feito por um hacker na execução de uma força bruta.
E se os autores não alterarem suas senhas regularmente ou não usarem as práticas de senha recomendadas, saiba que você está em risco. (Sério aqui identificamos muitos ataques de brute force)
Pera lá então quer dizer que se eu deixo exposto a enumeração quer dizer que o hacker pode pegar meu usuário pelo autor da postagem? SIM!
OK! Mas como funciona a enumeração de usuários no WordPress?
Método 1: Arquivos do autor
Talvez o método mais fácil de encontrar nomes de usuário do WordPress seja percorrer os arquivos do autor. Para enumerar nomes de usuário através do método de arquivos do autor, basta anexar um número inteiro (ou seja, 1,2,3, etc.) como um valor ao parâmetro “autor”. Por exemplo, observe os seguintes valores:
http://example.com/?author=1http://example.com/?author=2http://example.com/?author=3These values would then fetch the results like the following:http://example.com/author/admin/http://example.com/author/user2/http://example.com/author/user3/
Portanto, fuzzing o parâmetro author na URL inicial do WordPress, vários nomes de autor podem ser enumerados.
Às vezes, o motivo da enumeração do usuário está em alguma vulnerabilidade do tema. Os modelos de tema, às vezes, exibem o nome do autor nas informações meta do post, nas páginas de arquivo do autor ou em alguns outros locais. Isso permite que o hacker busque os detalhes através do processo acima.
Método 2: Mensagens de erro
Às vezes, o invasor tenta fazer login no seu site WordPress usando um nome de usuário aleatório. Se o nome de usuário existir, a mensagem de erro revelará que o nome de usuário está correto, mas a senha está errada. Da mesma forma, se o nome de usuário adivinhado estiver errado, a mensagem de erro especificará que o nome de usuário não existe. Agora, usando a abordagem de força bruta, o invasor pode enumerar nomes de usuário com base em mensagens de erro. Por exemplo, observe a imagem abaixo.
Solução de um clique para User Enumeration no WordPress
Para interromper a enumeração de usuários no WordPress com apenas um clique, use o plugin gratuito Stop User Enumeration. O Stop User Enumeration é uma solução completa para garantir as medidas de segurança recomendadas no seu WordPress. Veja no vídeo abaixo.
Como se proteger da enumeração de usuários manualmente no WordPress?
1. Editando arquivos do WordPress
A enumeração do usuário que está sendo feita usando o arquivo do autor (método 1) pode ser bloqueada adicionando um trecho de código ao arquivo functions.php ou ao arquivo .htaccess no nível raiz. O arquivo .htaccess deve ser editado apenas se você deseja bloquear a solicitação no nível do servidor. Para realizar isso:
- Passo 1: Faça login no painel de administração do seu servidor, onde você pode acessar os arquivos.
- Passo 2: Navegue até o diretório de instalação do WordPress. Em seguida, visite wp-content>themes. Aqui, abra o diretório do seu tema e encontre o arquivo functions.php.
- Passo 3: Abra o arquivo functions.php e copie e cole o seguinte código nele e salve-o:
if (!is_admin()) {// default URL format
if (preg_match('/author=([0-9]*)/i', $_SERVER['QUERY_STRING'])) die(); add_filter('redirect_canonical', 'shapeSpace_check_enum', 10, 2);}
function shapeSpace_check_enum($redirect, $request) {
// permalink URL format
if (preg_match('/\?author=([0-9]*)(\/*)/i', $request)) die(); else return $redirect;
}
Este trecho de código aqui verifica a solicitação feita ao arquivo do autor. Se contiver um número inteiro, essa função bloqueará a solicitação e, portanto, poderá interromper a enumeração do usuário no WordPress. Da mesma forma, para interromper a enumeração de usuários no WordPress usando o arquivo .htaccess, siga estas etapas:
- Passo 1: Faça login no seu servidor como administrador.
- Passo 2: No gerenciador de arquivos, encontre o arquivo .htaccess na raiz do seu servidor.
- Passo 3: Abra o arquivo .htaccess e copie e cole o seguinte código nele e salve-o:
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* http://seusite.com.br/? [L,R=302]
</IfModule>
Aqui, substitua o “seusite.com.br” pelo nome de domínio do seu site WordPress e pronto!
2. Remover mensagens de erro detalhadas (error user login)
O plugin Unified Login Error Messages podem ajudar muito. Este plugin dará a mesma mensagem de erro independentemente do fato de o nome de usuário existir ou não. Portanto, para cada tentativa, independentemente, o nome de usuário está errado ou certo, apenas a mensagem de erro “ERRO: combinação de nome de usuário/senha inválida” será exibida. No entanto, este plugin não é atualizado há mais de 8 anos! Não se preocupe, uma alternativa melhor está disponível, mencionada abaixo.
Compartilhe sua experiência com nossa dica ou qualquer sugestão na caixa de comentários
Faça Parte da maior Comunidade WordPress do Telegram: https://t.me/WordPressBrasil
