Sécurisation des comptes d'administrateur - Découverte du nom d'utilisateur

Question

Nous avons Limit Login Attempts installé depuis quelques semaines maintenant, et le nombre de tentatives de force brute sur wp-admin/wp-login est plutôt impressionnant. Au début, les tentatives portaient toutes le nom d'utilisateur "Admin", qui n'existe pas sur notre site. Je l'ai donc considéré comme une gêne, mais pas vraiment comme une menace. Cependant, des verrouillages se produisent maintenant avec d'autres comptes d'utilisateurs nommés et je ne comprends absolument pas comment les attaquants déduisent les noms d'utilisateur de ces comptes.

Aucun contenu sur notre site n'a été créé par une personne en particulier et je ne trouve aucun autre emplacement sur notre site où ces noms d'utilisateurs sont publiés.

Une idée sur la façon dont les noms d'utilisateur pourraient être découverts?

Aucun contenu sur notre site n'a été créé par une personne en particulier et je ne trouve aucun autre emplacement sur notre site où ces noms d'utilisateurs sont publiés.

Une idée sur la façon dont les noms d'utilisateur pourraient être découverts?

fuxia · Accepted Answer

Si vous avez de jolis permaliens activés, WordPress redirigera tous les appels de /?author=1 vers l'archive de l'auteur avec le nom d'utilisateur, par exemple: /author/bob/. Et puis le visiteur saura le nom de l'auteur.

Utilisez Login Lockdown , ce plugin ne réinitialise pas les comptes, il bloquera les adresses IP.

user20814 · Answer

Buggers intelligents. Je pense que je vais simplement rediriger les demandes vers /? Author =. Cela vous semble raisonnable? Quelque chose comme:

add_action( 'template_redirect', 'my_author_redirect' ); function my_author_redirect() { if ( is_author() ) { wp_redirect( get_bloginfo( 'url' ), 301 ); exit; } }