Подбор логина к сайту
-
Добрый день. Стоит плагин Limit Login Attepts ежедневно какая-то бот-сеть в течении полугода ломится с подбором паролей. До сегодняшнего дня все логины были тупо admin, administrator, root, manager и support, но вчера были попытки залогинится с моего реального логина (угадать его невозможно), на сайте автор и комментарии всех постов отображается именем, а не логином.
Вопрос.
1. Как злоумышленник мог узнать логин (а при этом не узнал пароль, здесь вариантов, я понимаю, может быть много, просто если троян на моем компе, то он и пароль бы получил)?
2. Стоит удалить «засветившего» пользователя или лучше дать ему права подписчика? Что лучше для безопасности?
-
(угадать его невозможно)
Покажите сайт — попробую «угадать» 😉
Что лучше для безопасности?
Голова на плечах — самое то;)
А так многое, начиная с хорошего пароля в ВП и заканчивая настройками сервера.
Так же можно по кол-ву запросов блокировать ИП, редиректить куда-нить и тп (какие-то плагины были для этого. Конкретных названий не подскажу).примерно с апреля-мая бот-сеть ломится к очень многим, это явилось причиной блокировок /wp-login.php со стороны достаточно многих хостеров,
приходят кучно, уходят также.1. Как злоумышленник мог узнать логин
страницы автора статей 🙂
но сабжевый ботнет этого не умеет, вероятно это уже что то новенькое
Стоит удалить «засветившего» пользователя или лучше дать ему права подписчика? Что лучше для безопасности?
вы всех собрались удалять или понижать в правах? удалить следует только admin, в плане всех остальных — limit login attempts отлично справляется, сама им пользуюсь
если боты долбят очень сильно, (5-10 раз в секунду и более) то можно на wp-login.php поставить дополнительно http-авторизацию, ботнет получает код ответа 401, а при получении любой ошибки 4xx они быстро уходят
Покажите сайт — попробую «угадать» 😉
sadovody.ru
примерно с апреля-мая бот-сеть ломится к очень многим,
У нас ломятся с 28 декабря.
вы всех собрались удалять или понижать в правах? удалить следует только admin, в плане всех остальных — limit login attempts отлично справляется, сама им пользуюсь
У меня всего один пользователь, у него пароль 22 символа и сложный логин.
admin и т.п. таких у меня нет.и сложный логин
…который легко можно посмотреть в sitemap 🙂
ух…не знал. спасибо, Юрий. Удалил
…который легко можно посмотреть в sitemap 🙂
Эх, опоздал посмотреть 🙂
А так вроде больше нигде не нахожу.Логин в WordPress не считается секретной информацией. По мнению разработчиков, скрывать его нет особого смысла — лучше позаботиться о надёжном пароле.
Узнать логин можно, например, из URL архива записей автора (если включены «красивые» постоянные ссылки). Даже если ссылок на сами архивы на сайте нет, можно сделать несколько запросов вида
/?author=1
, последовательно увеличивая ID, и получить канонический URL архива.На вашем сайте получаем 11 букв, первая «l», последняя «a» 🙂
По мнению разработчиков, скрывать его нет особого смысла
Вот тут я с ними не согласен 😉
Логин — ровно половина данных для авторизации. А неизвестная половина это уже ^2 (вторая степень) повышения безопасности.Вот тут я с ними не согласен 😉
Я тоже, поэтому есть детская инструкция, добавлю только к своим словам, что потребуется изменить в профиле (или напрямую в БД) в выпадающем списке отображаемое имя на фронте http://trueimages.ru/img/55/37/31da07c19151901e950ff5a36e1.png
После этих манипуляций логин и то, что отображается в слаге, в коде, в классах css будут совершенно разными сущностями, но принадлежать одному юзеру..На вашем сайте получаем 11 букв, первая «l», последняя «a» 🙂
Это как раз скомпрометированный логин.
А новый администратор ничего еще не создавал. Теоретически, можно оставить этого «засветившегося» и от него публиковать записи, временно присваивая необходимые права для публикации.Вот тут я с ними не согласен 😉
Мнение основано на том факте, что на подавляющем большинстве сайтов логин присутствует в открытом виде, а на остальных процедура «угадывания» тоже достаточно тривиальна 🙂
Идея разделить логин пользователя и отображаемый в URL ярлык
user_nicename
несколько раз упоминалась в багтрекере (#14644, #20235), но пока не получила поддержки. При смене ярлыка сломаются старые ссылки (не только на архивы — ярлык автора может быть ещё и частью структуры ссылок записей), поэтому если идею о разделении и редактировании полей всё же будет решено реализовать, сначала нужно продумать механизм перенаправлений для ярлыков пользователей (подобно тому, как это сделано для записей).Если автор сайта осознанно хочет изменить ярлык
user_nicename
(чтобы не совпадал с логином), сделать это можно, просто отредактировав его в phpMyAdmin. Можно также воспользоваться плагином Edit Author Slug.поэтому есть детская инструкция,
Ага, вспомнил этот костылёк 😉 Сеньк.
Теоретически, можно оставить этого «засветившегося» и от него публиковать записи, временно присваивая необходимые права для публикации.
Можно публиковать и реальным админом, а присваивать авторство юзеру с пониженными правами.
Мнение основано на том факте, что на подавляющем большинстве сайтов логин присутствует в открытом виде, а на остальных процедура «угадывания» тоже достаточно тривиальна 🙂
Сергей, при всё уважении, но по моим наблюдениям — этот факт и не факт вовсе. Хотя мб мы (с разработчиками ВП) по каким-то другим сайтам судим 😉 Я, например, до ВП не видел (не особо конечно всматривался, но..), что бы логины так запросто светили(сь). Да, эта «мода» начала наблюдаться последнее время — почти одновременно с «модой» в кач-ве логина использовать электропочту (повбывавбы).
Да и вообще — мало ли как там у других. У себя ж всё должно максимально безопасно.
Если автор сайта осознанно хочет изменить ярлык user_nicename (чтобы не совпадал с логином), сделать это можно, просто отредактировав его в phpMyAdmin. Можно также воспользоваться плагином Edit Author Slug.
О, и за это спасибо.
Позволю себе вернуться к этому треду на правах [offtop].
Читаю массовую критику в адрес Мэтта и его ответ http://ma.tt/2013/04/passwords-and-brute-force/ на дефолтный логин admin. Кто не знаком с английским кратко перескажу — некоторые утверждают, что имеется ботнет, насчитывающий более 90 000 зараженных компьютеров, который атакует сайты, созданные на именитом движке WP (который мы все с радостью используем) подбирая пароль, логин, как вы поняли он уже знает — admin. 🙂
Поэтому Мэтт настоятельно рекомендует всем изменить дефолтный логин admin, на другой. Он даже предоставил ссылку на подробную инструкцию http://www.digitalkonline.com/blog/change-your-wordpress-admin-username/
Если не поняли в картинках, то кратко это делается так — заходите под админом в панель, создаете нового юзера с правами администратора (понятно, что логин, e-mail, пароль и отображаемое имя — другие), разлогиниваетесь. Затем заходите под вновь созданным админом и удаляете старого.
Вот и весь сказ, малятки. Держитесь!… :)))
—
И еще — не ставьте темы и плагины с ГС и вовремя обновляйтесь :)) Это сказал Мэтт, а ему можно доверять 😉меется ботнет, насчитывающий более 90 000 зараженных компьютеров, который атакует сайты, созданные на именитом движке WP (который мы все с радостью используем) подбирая пароль, логин, как вы поняли он уже знает — admin
имеется, многие с ним знакомы не только по статьям, ко мне лезли активно, тут на форуме периодически появляются люди с вопросами о странностями с /wp-login.php
долбят не только admin, еще administrator и чего то еще хотели… у меня limit login attempts показывал штук 5 логинов в целом, сейчас уже не кажет, боты тупые чтобы пройти по 301 редиректу и пытаться через https://кратко это делается так
кратко это делается в phpMyAdmin, также есть плагин, а новые инсталляции WP позволяют задавать это при установке
- Тема «Подбор логина к сайту» закрыта для новых ответов.