Intereting Posts
Найти внутренние ссылки для публикации Как вывести список должностей в категории, за исключением сообщений в подкатегориях категории Все пользовательские виджеты не отображаются одновременно в области виджетов Действительный SQL-запрос не возвращает результаты Эффективный способ запроса «резервной» почты? Почему is_page (id) не работает в functions.php? Как настроить Multisite Network со случайными именами хостов? Встроенный стиль для jquery-ui-datepicker Пользовательская регистрация переднего конца – как работает ключ в запросе набора пароля? Хотите узнать, как превратить закладки Firefox в блог WordPress? Есть ли какие-либо рекомендации по созданию функции Like / Favorite в WordPress с использованием пользовательских таблиц MySQL и без каких-либо плагинов? URL переписать независимый плагин? Как создать изображения в комментариях к блогу? Как ограничить доступ к одному для пользователей, которых я разрешил? Термин специфический признанный пост на страницах архива таксономии

Хакеры попробовали имя пользователя с неправильным случаем

Сегодня WordFence отправил электронное письмо, в котором кто-то пытался войти на сайт клиента с полным именем пользователя, за исключением случая. Мне пришло в голову, что, возможно, единственной системой, которая не чувствительна к регистру в процессе входа в систему, является их сеть Windows.

В то время как я рекомендовал, чтобы они получили безопасный сертификат для всех своих доменных имен, чтобы данные были зашифрованы, есть ли еще одно общее отверстие в потоке данных входа в систему, которое могло бы забрать имя пользователя без этого случая? Например, я считаю, что форма входа в WordPress должна была бы забрать имя пользователя в этом случае, как указано. И клавиатурный трекер подберет, что нажата клавиша shift.

Solutions Collecting From Web of "Хакеры попробовали имя пользователя с неправильным случаем"

WordPress не считает имена пользователей приватными. Тривиально получить имя пользователя, которое создало сообщение, и не очень сложно получить список активных имен пользователей на основе ошибок, отображаемых в форме входа в систему при использовании неправильного пароля.

Независимо от моей личной неприязни к этой политике, в конечном итоге большинство пользовательских имен можно легко догадаться, и более целенаправленные атаки могут использовать адрес электронной почты, который для многих является общедоступной информацией, для попытки входа в систему.

Лучше всего советовать, возможно, уделять меньше внимания «плагинам безопасности», которые сообщают о многих вещах, о которых вы либо ничего не можете сделать, либо просто являются частью факта «Интернет наполнен злыми людьми» и сосредоточены на сохранении хороших паролей пользователей и ограничении как можно больше возможностей пользователя.