Tivemos Limitar tentativas de login instaladas há algumas semanas e o número de brutos as tentativas de força que ocorrem no wp-admin / wp-login são bastante surpreendentes. No começo, as tentativas eram todas com o nome de usuário "Admin", que não existe em nosso site, então eu considerei um aborrecimento, mas não uma grande ameaça. No entanto, agora estamos vendo os bloqueios ocorrendo com outras contas de usuários administradores nomeadas e estou completamente sem entender como os invasores estão deduzindo os nomes de usuários dessas contas.
Nenhum conteúdo em nosso site é de autoria de ninguém em particular e não consigo encontrar nenhum outro local em nosso site onde esses nomes de usuário sejam publicados publicamente.
Alguma ideia de como nomes de usuários podem ser descobertos?
Se você tiver permalinks habilitados, o WordPress redirecionará todas as chamadas para /?author=1 para o arquivo de autor com o nome de usuário, por exemplo: /author/bob/ . E então o visitante saberá o nome do autor.
Use o Bloqueio de login , esse plug-in não redefine as contas, ele bloqueia os endereços IP.
Buggers inteligentes. Eu acho que só vou redirecionar as solicitações para /? Author =. Soa razoável? Algo como:
add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
if ( is_author() ) {
wp_redirect( get_bloginfo( 'url' ), 301 );
exit;
}
}