Bạn có lo lắng rằng tin tặc đang cố gắng khám phá tên người dùng trên trang web WordPress của bạn để tấn công không?
Có lẽ không phải là bản năng đầu tiên của bạn, phải không?
Nhưng đây là một kiểm tra thực tế: Kiểm tra trang web của bạn để tìm tên người dùng là một chiến thuật khá phổ biến được tin tặc sử dụng.
Khi tin tặc tìm thấy tên người dùng hợp lệ, họ chỉ cần đoán mật khẩu để truy cập vào trang web của bạn. Sau đó, tin tặc sẽ sử dụng cái được gọi là ‘Brute Force Attack’ để đoán đúng mật khẩu vào trang tổng quan WordPress của bạn.
Tiếp theo, họ kiểm soát hoàn toàn trang web của bạn và tàn phá. Tin tặc đánh cắp dữ liệu, chuyển hướng khách truy cập và khách hàng spam, trong số một danh sách dài các hoạt động độc hại khác.
Nhưng đừng lo lắng vì bạn có thể ngăn tin tặc phát hiện ra tên người dùng bằng cách thực hiện các biện pháp chống lại lỗ hổng liệt kê người dùng.
Trong hướng dẫn này, bạn sẽ tìm hiểu danh sách người dùng là gì và cách ngăn chặn việc bị tin tặc khai thác.
TL; DR : Việc liệt kê người dùng có thể làm tăng cơ hội tấn công vũ lực thành công trên trang web WordPress của bạn. Để ngăn chặn điều này, bạn có thể cài đặt Plugin bảo mật MalCare. Nó sẽ phát hiện và tự động chặn các nỗ lực vũ phu trên trang web của bạn.
Danh sách người dùng là gì?
Liệt kê tên người dùng là quá trình mà qua đó tin tặc có thể tìm thấy người dùng của một trang web WordPress. Họ quét trang web và thu thập thông tin người dùng (như tên, ID email) mà họ sử dụng để thử và đăng nhập vào trang web.
Lưu ý: Đối với người dùng, chúng tôi không có nghĩa là khách truy cập hay khách hàng. Ý chúng tôi là những người dùng có quyền truy cập vào bảng điều khiển quản trị WordPress của bạn.
Tại sao điều này là một vấn đề? Tin tặc sử dụng một kỹ thuật gọi là tấn công brute force, trong đó chúng cố gắng đoán tên người dùng và mật khẩu của bạn. Họ lập trình bot để nhập hàng nghìn tổ hợp tên người dùng và mật khẩu trong vài giây.
Nhưng nếu họ biết tên người dùng của bạn, điều đó có nghĩa là họ chỉ còn một bước nữa là có thể truy cập vào trang web của bạn.
Đây là nơi đưa ra danh sách người dùng. Tin tặc cố gắng tìm ra tên người dùng bằng cách xem tên tác giả và địa chỉ email trên trang web của bạn.
Có nhiều cách khác nhau mà tin tặc có thể tìm thấy tên người dùng trên trang web của bạn. Điều quan trọng là phải hiểu các phương pháp mà tin tặc sử dụng để triển khai các biện pháp chống lại việc liệt kê người dùng.
Các kiểu liệt kê người dùng
Tên người dùng được lưu trữ trong cơ sở dữ liệu của trang web WordPress của bạn. Tuy nhiên, tin tặc không nhất thiết phải truy cập vào cơ sở dữ liệu của bạn để tìm ra thông tin này.
Chúng tôi trình bày chi tiết hai kỹ thuật chính mà tin tặc sử dụng để liệt kê người dùng trên các trang web WordPress:
1. Sử dụng Lưu trữ của Tác giả
Mỗi người dùng trên trang web WordPress của bạn đều có một ID duy nhất được cấp cho họ. ID này được WordPress sử dụng để tham chiếu tài khoản người dùng tương ứng trong cơ sở dữ liệu.
Tiếp theo, khi người dùng trang web của bạn tạo các trang và bài đăng, WordPress sẽ lưu trữ dữ liệu này trong kho lưu trữ của tác giả.
Kho lưu trữ của tác giả về cơ bản phân loại các trang và bài đăng theo người đã tạo ra nó.
Tin tặc có thể chạy các tập lệnh trên trang web của bạn để tải tệp lưu trữ tác giả có thể tiết lộ ID người dùng. Tiếp theo, họ chạy thêm các tập lệnh để tìm ra tên người dùng được liên kết với ID người dùng.
2. Sử dụng Biểu mẫu đăng nhập
Khi bạn nhập tên người dùng không hợp lệ trên trang đăng nhập WordPress, nó hiển thị lời nhắc này:
Trong khi đó, nếu bạn nhập tên người dùng hợp lệ và mật khẩu không chính xác , WordPress hiển thị lời nhắc này:
Điều này cho thấy tên người dùng ‘user1@example.com’ là tên người dùng hợp lệ và chỉ có mật khẩu không chính xác.
Tin tặc sử dụng các công cụ như Burp Intruder để tải danh sách tên người dùng có thể có để tìm tên hợp lệ bằng cách kiểm tra phản hồi này từ WordPress.
Sử dụng các phương pháp này, tin tặc có thể phát hiện ra tên người dùng của bạn và điều này đưa chúng đến gần hơn với việc tấn công trang web của bạn. Bạn có thể triển khai các biện pháp bảo mật để đảm bảo điều này không xảy ra.
Ngăn chặn việc cố gắng lập danh sách người dùng có thể xảy ra
Bạn có thể dừng việc liệt kê người dùng bằng cách sử dụng một plugin hoặc bằng cách chèn một đoạn mã vào các tệp WordPress của mình theo cách thủ công. Chúng tôi không khuyến nghị phương pháp thủ công vì nó cực kỳ rủi ro. Một sai sót nhỏ nhất có thể làm hỏng trang web của bạn. Tuy nhiên, chúng tôi sẽ trình bày chi tiết các bước cho cả hai.
1. Cài đặt Trình cắm Danh sách Người dùng Dừng
Đây là cách dễ nhất và hiệu quả nhất để ngăn chặn việc liệt kê người dùng trên trang web WordPress của bạn. Bạn có thể cài đặt Plugin Stop User Enumeration này trên trang web của mình từ kho lưu trữ WordPress.
Như tên cho thấy, plugin được thiết kế để ngăn tin tặc quét trang web của bạn để tìm tên người dùng.
Nó cũng có một tính năng tiện lợi là ghi lại các địa chỉ IP đang cố gắng liệt kê người dùng của bạn. Địa chỉ IP là một mã duy nhất được cấp cho một thiết bị được kết nối với internet. Các plugin Tường lửa của WordPress như MalCare được thiết kế để phát hiện các địa chỉ IP thực hiện các hoạt động độc hại và chặn chúng truy cập vào trang web của bạn.
Nếu bạn đã cài đặt tường lửa trên trang web của mình, bạn có thể xác minh chéo nhật ký địa chỉ IP do plugin Stop User Enumeration cung cấp với những địa chỉ mà tường lửa của bạn đang chặn. Trong trường hợp không chặn được, hầu hết các tường lửa đều cho phép bạn nhập địa chỉ IP theo cách thủ công và đưa vào danh sách đen. Sau đó, tường lửa sẽ tự động ngăn địa chỉ IP truy cập lại vào trang web của bạn.
2. Chèn mã theo cách thủ công để ngừng kê khai người dùng
LƯU Ý:Hãy nhớ rằng, chúng tôi KHÔNG KHUYẾN CÁO sử dụng phương pháp này. Trong trường hợp bạn muốn tiếp tục, chúng tôi khuyên bạn nên sao lưu trang web WordPress của mình. Nếu có vấn đề gì xảy ra, bạn có thể khôi phục trang web của mình trở lại bình thường.
Bước 1: Đăng nhập vào tài khoản lưu trữ của bạn, đi tới cPanel> Trình quản lý tệp . (Bạn cũng có thể truy cập tệp của mình bằng FTP như FileZilla.)
Bước 2: Mở public_html thư mục, đi tới wp-content và truy cập thư mục chủ đề của bạn . Hãy nhớ chọn chủ đề đang hoạt động trên trang web của bạn.
Bước 3: Tại đây, bạn có thể tìm thấy function.php của chủ đề của mình tập tin. Nhấp chuột phải và chỉnh sửa tệp này.
Bước 4: Chèn mã sau:
/**
* Block User Enumeration
*/
function kl_block_user_enumeration_attempts() {
if ( is_admin() ) return;
$author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) );
if ( $author_by_id )
wp_die( 'Author archives have been disabled.' );
}
add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );
Lưu thay đổi và đóng tệp. Việc liệt kê người dùng sẽ bị chặn trên trang web của bạn.
Với điều đó, chúng tôi kết thúc việc bảo vệ trang web của bạn trước sự liệt kê của người dùng. Chúng tôi cũng thực sự khuyên bạn nên sử dụng tên người dùng không có sẵn trên trang web của bạn. Ví dụ:nếu bạn có các thành viên trong nhóm và tên tác giả blog được hiển thị trên trang web của mình, sẽ là khôn ngoan nếu bạn giữ một tên quản trị viên khác.
Lời kết
Bằng cách chặn danh sách người dùng trong trang WordPress, bạn giảm nguy cơ bị tấn công vũ phu. Tin tặc thường nhắm mục tiêu vào các trang web dễ bị hack. Các bot của họ sẽ thực hiện một vài lần thử không thành công và chuyển từ trang web của bạn.
Tuy nhiên, các cuộc tấn công vũ phu chỉ là một trong những mối đe dọa bảo mật mà bạn cần để bảo vệ trang web WordPress của mình khỏi tin tặc.
Chúng tôi thực sự khuyên bạn nên kích hoạt một plugin bảo mật sẽ quét trang web của bạn thường xuyên để đảm bảo trang web sạch và không có phần mềm độc hại. Nó cũng sẽ chủ động chặn tin tặc truy cập vào trang web của bạn.
Bạn có thể yên tâm vận hành trang web của mình khi biết rằng trang web của bạn được bảo mật.
Bảo vệ trang web WordPress của bạn với MalCare!