Intereting Posts
Почему запуск get_the_excerpt () при создании файла JSON занимает 28 секунд против 599 миллисекунд без него? Soundcloud Smart Player Неопределенное уведомление индекса при использовании параметра $ args в add_settings_field () Привязать событие к элементам галереи мультимедиа WordPress Сортировка списка сообщений, отображаемых в списке связанных терминов (которые должны быть отсортированы без начальных статей) wordpress меняет порядок цикла на динамическое значение Пустые строки в заголовке, как их удалить Отображать все пользовательские сообщения типа сообщения и заказывать их с помощью дополнительной функции meta_key Разрешить пользователю устанавливать индивидуальный заказ в список пользовательских таксономий? do_shortcode в почтовом запросе Команда WP-CLI для обновления всех плагинов и ядра сбой при выполнении из cron Единственное пользовательское меню типа post ancestor / parent – это страница с архивами сообщений Добавление второго RSS-канала Как передать сообщение с помощью template_redirect Как найти все ссылки между страницами

Хакеры попробовали имя пользователя с неправильным случаем

Сегодня WordFence отправил электронное письмо, в котором кто-то пытался войти на сайт клиента с полным именем пользователя, за исключением случая. Мне пришло в голову, что, возможно, единственной системой, которая не чувствительна к регистру в процессе входа в систему, является их сеть Windows.

В то время как я рекомендовал, чтобы они получили безопасный сертификат для всех своих доменных имен, чтобы данные были зашифрованы, есть ли еще одно общее отверстие в потоке данных входа в систему, которое могло бы забрать имя пользователя без этого случая? Например, я считаю, что форма входа в WordPress должна была бы забрать имя пользователя в этом случае, как указано. И клавиатурный трекер подберет, что нажата клавиша shift.

Solutions Collecting From Web of "Хакеры попробовали имя пользователя с неправильным случаем"

WordPress не считает имена пользователей приватными. Тривиально получить имя пользователя, которое создало сообщение, и не очень сложно получить список активных имен пользователей на основе ошибок, отображаемых в форме входа в систему при использовании неправильного пароля.

Независимо от моей личной неприязни к этой политике, в конечном итоге большинство пользовательских имен можно легко догадаться, и более целенаправленные атаки могут использовать адрес электронной почты, который для многих является общедоступной информацией, для попытки входа в систему.

Лучше всего советовать, возможно, уделять меньше внимания «плагинам безопасности», которые сообщают о многих вещах, о которых вы либо ничего не можете сделать, либо просто являются частью факта «Интернет наполнен злыми людьми» и сосредоточены на сохранении хороших паролей пользователей и ограничении как можно больше возможностей пользователя.