問題描述
我們已經安裝了幾個星期的 Limit Login Attempts,並且在 wp-admin /wp-login 上發生的暴力嘗試次數非常驚人。起初,這些嘗試都是使用我們網站上不存在的用户名”Admin,”,所以我認為這是一個煩惱,但沒有太多的威脅。然而,現在我們看到其他命名的管理員用户帳户發生了鎖定,我完全不瞭解攻擊者如何推斷這些帳户的用户名。
我們網站上沒有任何內容由任何人特別撰寫,我們的網站上找不到任何這些用户名被公開發布的位置。
關於用户名可能被發現的任何想法?
最佳解決方案
如果您有很多固定鏈接,WordPress 將使用用户名將所有調用重定向到/?author=1 到作者存檔,例如:/author/bob/。然後訪問者將知道作者姓名。
使用 Login Lockdown,該插件不會重置帳户,它會阻止 IP 地址。
參考文獻
注:本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意,可以加入我們改善翻譯效果:薇曉朵技術論壇。