「ユーザーを列挙しようとする試みを防ぐ」エラーを修正する方法 (2 つの簡単な方法)

ハッカーが WordPress サイトをハッキングするためにユーザー名を見つけようとしているのではないかと心配していますか?

おそらく最初の本能ではないでしょう?

ただし、ここで現実を確認します: ユーザー名を見つけるためにサイトを調査することは、ハッカーが使用する非常に一般的な戦術です。

ハッカーが有効なユーザー名を見つけたら、パスワードを推測するだけでサイトにアクセスできます。ハッカーは、いわゆる「ブルート フォース アタック」を使用して、WordPress ダッシュボードへの正しいパスワードを推測します。

次に、彼らはあなたのウェブサイトを完全に支配し、大混乱を引き起こします。ハッカーは、データを盗んだり、訪問者をリダイレクトしたり、顧客にスパムを送ったりするなど、悪意のある活動を数多く行っています。

ただし、ユーザー列挙の脆弱性に対する対策を講じることで、ハッカーがユーザー名を発見するのを防ぐことができるため、心配する必要はありません。

このガイドでは、ユーザー列挙とは何か、およびハッカーによる悪用を防ぐ方法について説明します。

TL;DR : ユーザーの列挙により、WordPress サイトでブルート フォース攻撃が成功する可能性が高くなる可能性があります。これを防ぐには、MalCare セキュリティ プラグインをインストールします。サイトでのブルート フォース攻撃を検出して自動的にブロックします。

ユーザー列挙とは?

ユーザー名の列挙は、ハッカーが WordPress Web サイトのユーザーを見つけるためのプロセスです。彼らは Web サイトをスキャンし、ユーザー情報 (名前、電子メール ID など) を収集して、サイトへのログインを試みます。

注: ユーザーとは、訪問者や顧客を意味するものではありません。 WordPress 管理パネルにアクセスできるユーザーを意味します。

なぜこれが問題なのですか？ハッカーはブルート フォース攻撃と呼ばれる手法を使用して、ユーザー名とパスワードを推測しようとします。彼らはボットをプログラムして、ユーザー名とパスワードの何千もの組み合わせを数秒で入力します。

しかし、彼らがあなたのユーザー名を知っているということは、あなたのサイトへのアクセス権を得るまであと 1 歩しかないということです。

ここで、ユーザー列挙の出番です。ハッカーは、Web サイトの作成者名と電子メール アドレスを見て、ユーザー名を突き止めようとします。

ハッカーがサイトでユーザー名を見つける方法はいくつかあります。ユーザー列挙に対する対策を実装するために、ハッカーが使用する方法を理解することが重要です。

ユーザー列挙のタイプ

ユーザー名は WordPress サイトのデータベースに保存されます。ただし、ハッカーがこの情報を見つけるために必ずしもデータベースにアクセスする必要はありません。

ハッカーが WordPress サイトでユーザーを列挙するために使用する 2 つの主な手法について詳しく説明します。

1. 著者アーカイブの使用

WordPress サイトのすべてのユーザーには、一意の ID が割り当てられています。この ID は、データベース内の対応するユーザー アカウントを参照するために WordPress によって使用されます。

次に、Web サイトのユーザーがページや投稿を作成すると、WordPress はこのデータを作成者アーカイブに保存します。

著者アーカイブは、基本的に作成者に従ってページと投稿を分類します。

ハッカーはサイトでスクリプトを実行して、ユーザー ID を明らかにする可能性のある著者アーカイブをロードできます。次に、さらにスクリプトを実行して、ユーザー ID にリンクされたユーザー名を見つけます。

2. ログイン フォームの使用

無効なユーザー名を入力した場合 WordPress ログイン ページで、次のプロンプトが表示されます:

一方、有効なユーザー名と間違ったパスワードを入力した場合 、WordPress はこのプロンプトを表示します:

これは、ユーザー名「user1@example.com」が有効なユーザー名であり、パスワードのみが正しくないことを示しています。

ハッカーは Burp Intruder などのツールを使用して、可能性のあるユーザー名のリストを読み込み、WordPress からのこの応答を調べて有効なユーザー名を見つけます。

これらの方法を使用すると、ハッカーはユーザー名を発見できるため、Web サイトのハッキングに近づきます。これが起こらないようにセキュリティ対策を実装できます。

ユーザーを列挙しようとする試みの防止

プラグインを使用するか、WordPress ファイルにコードのスニペットを手動で挿入することで、ユーザーの列挙を停止できます。手動の方法は非常に危険であるため、お勧めしません。わずかなミスで Web サイトが破損する可能性があります。ただし、両方の手順について詳しく説明します。

1. Stop User Enumeration プラグインをインストール

これは、WordPress サイトでユーザーの列挙を停止する最も簡単で効率的な方法です。この Stop User Enumeration プラグインは、WordPress リポジトリからサイトにインストールできます。

名前が示すように、このプラグインは、ハッカーがサイトをスキャンしてユーザー名を探すのを防ぐように設計されています。

また、ユーザーを列挙しようとしている IP アドレスをログに記録する気の利いた機能もあります。 IP アドレスは、インターネットに接続されたデバイスに割り当てられる固有のコードです。 MalCare などの WordPress ファイアウォール プラグインは、悪意のあるアクティビティを実行する IP アドレスを検出し、サイトへのアクセスをブロックするように設計されています。

サイトにファイアウォールがインストールされている場合は、Stop User Enumeration プラグインによって提供される IP アドレス ログを、ファイアウォールがブロックしているログとクロス検証できます。ブロックされていない場合、ほとんどのファイアウォールでは、IP アドレスを手動で入力してブラックリストに登録できます。ファイアウォールは、その IP アドレスがあなたのサイトに再びアクセスするのを自動的に防ぎます。

2. コードを手動で挿入してユーザーの列挙を停止する

注:この方法の使用はお勧めしません。続行する場合は、WordPress サイトのバックアップを取ることをお勧めします。何か問題が発生した場合は、Web サイトを通常の状態に戻すことができます。

ステップ 1: ホスティング アカウントにログインし、cPanel> ファイル マネージャー に移動します。 . (FileZilla のような FTP を使用してファイルにアクセスすることもできます。)

ステップ 2: public_html を開く フォルダ、wp-content に移動 テーマのフォルダにアクセスします .サイトでアクティブなテーマを選択することを忘れないでください。

ステップ 3: ここで、テーマの function.php を見つけることができます ファイル。このファイルを右クリックして編集します。

ステップ 4: 次のコードを挿入してください:

/**

* Block User Enumeration

*/

function kl_block_user_enumeration_attempts() {

if ( is_admin() ) return;

$author_by_id = ( isset( $_REQUEST['author'] ) && is_numeric( $_REQUEST['author'] ) );

if ( $author_by_id )

wp_die( 'Author archives have been disabled.' );

}

add_action( 'template_redirect', 'kl_block_user_enumeration_attempts' );

保存 変更してファイルを閉じます。 Web サイトでユーザーの列挙をブロックする必要があります。

これで、ユーザーの列挙から Web サイトを保護することは終わりです。また、サイトですぐに利用できないユーザー名を使用することを強くお勧めします。たとえば、サイトにチーム メンバーとブログ作成者の名前が表示されている場合は、別の管理者名を使用することをお勧めします。

最終的な考え

WordPress サイトでユーザーの列挙をブロックすることで、ブルート フォース攻撃の可能性を減らします。ハッカーは通常、ハッキングされやすいサイトをターゲットにします。彼らのボットは数回失敗し、サイトから移動します。

ただし、ブルート フォース攻撃は、WordPress サイトをハッカーから保護するために必要なセキュリティ上の脅威の 1 つにすぎません。

サイトがクリーンでマルウェアに感染していないことを確認するために、サイトを定期的にスキャンするセキュリティ プラグインを有効にすることを強くお勧めします。また、ハッカーが Web サイトにアクセスするのを積極的にブロックします。

Web サイトが保護されていることを知っているので、安心してサイトを運用できます。

MalCare で WordPress サイトを保護しましょう!