Supporto » Varie ed eventuali » Nome admin in tentativi login

Stai visualizzando 4 risposte - dal 1 al 4 (di 4 totali)
  • Moderatore Gloria Liuni

    (@glorialchemica)

    Ciao @elisabetta71,
    WordPress di default crea degli archivi degli autori dei post. Se non hai modificato il nome utente con quello che viene visualizzato (sono due impostazioni differenti), gli archivi sono stati creati con il nome di login e forse questi attacchi sfruttano questo archivio.

    Per controllare come è stato generato l’archivio degli autori, nella barra dell’url del browser digita

    site://nome-del-tuo-sito

    tra i risultati che verranno fuori controlla come viene visualizzato
    https://nome-tuo-sito/author/nome-autore/

    Buone norme:
    Crea in ogni caso un nuovo utente admin con un nuovo nome e modifica il nome visualizzato.

    Per eliminare gli archivi autore:
    – Se stai utilizzando YOAST SEO disabilitali dalle impostazioni generali
    – Se non hai installato YOAST, puoi provare questo plugin https://it.wordpress.org/plugins/disable-author-archives/

    Facci sapere

    • Questa risposta è stata modificata 4 anni, 10 mesi fa da Gloria Liuni.
    Chi ha creato la discussione elisabetta71

    (@elisabetta71)

    Ciao @glorialchemica,
    grazie per la risposta.
    Il nome di login e il nome visualizzato sono stati cambiati subito durante la crezione degli utenti, quindi i due nomi differiscono nella visione.
    L’url https://nome-tuo-sito/author/nome-autore/ non esce facendo la ricerca con site://nome-del-tuo-sito, trovo solo le varie pagine del sito. Invece compilando con le giuste voci l’url https://nome-tuo-sito/author/nome-autore/, vedo tutti i contenuti fatti dall’admin e viene visualizzato il nome cambiato, non quello di login, però il link collegato al nome visualizzato, nel sorgente della pagina, contiene il nome per il login. Quindi potrebbe essere questa l’origine.
    Ho installato il plugin che mi hai indicato per disattivare la pagina archivio, perchè uso All In One SEO, e vediamo come va.
    Grazie ancora e buona giornata.

    Ciao @elisabetta71,

    Probabilmente il tuo sito non è protetto conto la ‘user enumeration’, cioè una tecnica che trova i nome degli utenti.
    Di default questa richiesta:
    https://nome-tuo-sito/?author=1
    Rimanda alla author page dell’admin (utente con ID=1).

    Per evitare user enumeration puoi usare WordFence che lo fa di default, oppure un plugin specifico come questo:
    https://wordpress.org/plugins/stop-user-enumeration/

    Un saluto

    Chi ha creato la discussione elisabetta71

    (@elisabetta71)

    Ciao @dabesa
    grazie per le info, le applico subito.
    Grazie.

Stai visualizzando 4 risposte - dal 1 al 4 (di 4 totali)
  • Il topic ‘Nome admin in tentativi login’ è chiuso a nuove risposte.