Beschrijving
Stop User Enumeration is een beveiligingsplugin die is ontworpen om hackers te detecteren en te voorkomen dat ze je site scannen op inlognamen van gebruikers.
Gebruikerstelling is een type aanval waarbij kwaadwillende partijen je website kunnen doorzoeken om ujew inlognaam te achterhalen. Dit is vaak een pre-cursor voor brute-force wachtwoordaanvallen. Stop User Enumeration helpt deze eerste aanval te blokkeren en stelt je in staat IP’s te loggen die deze aanvallen lanceren om verdere aanvallen in de toekomst te blokkeren.
Tools zoals WPSCAN zijn ontworpen voor gebruik door ethische hackers en spannen zich in om de inlognamen van gebruikers te vinden. Ethische hackers vragen eerst toestemming, deze plugin is ontworpen om de tools te verminderen wanneer ze zonder toestemming worden gebruikt en wanneer gebruikt in combinatie met fail2ban die pogingen bij de firewall kan blokkeren.
Als je jezelf op een VPS of een dedicated server bevindt en het aanvals-IP is vastgelegd, kan je (optionele aanvullende configuratie) fail2ban gebruiken om de aanval direct bij de firewall van je server te blokkeren, een zeer krachtige oplossing voor VPS-eigenaren om ook brute force-aanvallen te stoppen als DDoS-aanvallen.
Als je geen toegang hebt om fail2ban te installeren (bijvoorbeeld op een gedeelde host), kan je deze plugin toch gebruiken.
De plugin kan voorkomen dat de gebruikers-ID wordt gelekt door de oEmbed API-aanroep.
Aangezien gebruikersgegevens van WordPress 4.5 ook kunnen worden verkregen door API-aanroepen zonder in te loggen, is dit een WordPress-functie, maar als je deze niet nodig hebt om gebruikersgegevens te krijgen, is dit
plugin zal dat ook beperken en loggen.
Omdat WordPress 5.5-sitemaps worden gegenereerd door core WP ( wp-sitemap.xml ) die een sitemap voor gebruikers/auteurs bevat die de gebruikers-ID blootlegt. Je kunt dit in-/uitschakelen in de plugin instellingen.
PHP 8.2 compatibel
Getest op PHP 8.2
Functies omvatten
- Blokkeert gebruikersopsommingsverzoeken door GET of POST
- Syslogt een blok zodat Fail2Ban kan worden gebruikt om een IP te blokkeren
- Blokkeert optioneel REST API-gebruikersverzoeken voor niet-geautoriseerde gebruikers
- Optioneel verwijdert auteur sitemap
- Verwijdert optioneel auteur van OEMBED
- Verwijdert optioneel nummers van auteurs van reacties
Installatie
In deze sectie wordt beschreven hoe je de plugin kunt installeren en aan de slag kan gaan.
Ofwel met behulp van de dashboard-functie ‘Plugin toevoegen’ om de plugin te zoeken, installeren en activeren, of
1. Download en de plugin via de downloadlink
2. Upload de volledige stop-user-enumeration-directory naar /wp-contents/plugins/stop-user-enumeration van je website met behulp van een bestandsbeheerder of FTP
3. Activeer de plugin via het menu Plugins
FAQ
-
Het schijnt niet te werken!
-
Ben je ingelogd? Deze plugin doet niets voor ingelogde gebruikers, het werkt alleen als je bent uitgelogd. Dit is de manier waarop het is ontworpen. Een veelgemaakte fout is om de plugin te installeren en te testen, terwijl je nog steeds bent ingelogd als beheerder.
-
Mijn gebruikersnaam lijkt nog steeds te zijn gelekt!
-
Thema’s en xml-feeds bevatten de ‘Weergavenaam’ van je gebruiker. Als je geen naamdetails of bijnaam opgeeft, wordt de ‘Weergavenaam’ standaard de gebruikersnaam van je gebruiker. Zorg ervoor dat je weergavenaam altijd NIET is ingesteld op je gebruikersnaam, anders wordt deze op meerdere plaatsen gelekt.
-
Zijn er instellingen?
-
Ja, maar de standaardinstellingen zijn in de meeste gevallen prima
-
Dit werkt niet met PHP 5.2!
-
Deze plugin ondersteunt geen PHP 5.2. PHP 5.2 is erg oud en je moet echt je hosting regelen, het draaien van een softwareversie die ver voorbij het ondersteunde einde van de levensduur is, is een veiligheidsrisico.
-
Zal het werken op multisite?
-
Ja
-
Waarom blokkeer ik niet gewoon met .htaccess
-
Een .htaccess-oplossing is om verschillende redenen onvoldoende, maar de meeste gepubliceerde berichten over dit onderwerp hebben geen betrekking op POST-blokkering, REST API-blokkering en het onbedoeld blokkeren van de toegang van beheerders. En log het IP-adres niet in een firewall, het grote voordeel!
-
Breekt het iets?
-
If a comment is left by someone just giving a number that comment would be forbidden, as it is assumed a hack attempt, but the plugin has a bit of code that strips out numbers from comment author namesa1
Also usernames containing numbers may not work in the front end. Additionally the default rule for Rest APi is anything with users in it, so other plugins may set up endpoints. -
How can I change the Rest API match rules
-
There are two filters
stop_user_enumeration_rest_stop_match
set to/users/i
by default andstop_user_enumeration_rest_allow_match
set tosimple-jwt-login
by default ( to allow that plugin’s endpoints ) -
Heb ik fail2ban nodig om dit te laten werken?
-
Nee, maar met fail2ban kan je IP adressen blokkeren bij je VPS / Dedicated server-firewall die gebruikerstelling proberen.
-
Wat is de fail2ban configuratie?
-
Een fail2ban configuratiebestand, wordpress userenum.conf is te vinden in de plugin folder stop-user-enumeration/fail2ban/filter.d
-
Wat moet er in de fail2ban jail.local?
-
Een voorbeeld jail.local is te vinden in de plugin folder stop-user-enumeration/fail2ban
-
Hoe kan ik beveiligingsfouten rapporteren?
-
Je kunt beveiligingsfouten melden via het Patchstack Vulnerability Disclosure Programma. Het Patchstack team helpt bij het valideren, sorteren en afhandelen van beveiliging kwetsbaarheden. Meld een beveiliging kwetsbaarheid.
Beoordelingen
Bijdragers & ontwikkelaars
“Stop User Enumeration” is open source software. De volgende personen hebben bijgedragen aan deze plugin.
Bijdragers“Stop User Enumeration” is vertaald in 2 talen. Dank voor de vertalers voor hun bijdragen.
Vertaal “Stop User Enumeration” naar jouw taal.
Interesse in ontwikkeling?
Bekijk de code, haal de SVN repository op, of abonneer je op het ontwikkellog via RSS.
Changelog
1.6.3
- fix warning with die
1.6.2
- set wp_die to return 403
- added defer to script
1.6.1
- updated tested to 6.6
1.6
- change getenv to $_SERVER for better compatability
- added extra sanitization to meet current plugin repo standards
- allow exception for Simple JWT Login rest route and add filters to adjust match and exception of rest rules
1.5.0
- remove admin notifications for reviews and donations