حملات شمارش کاربر تکنیک هایی با هدف یافتن اعتبار ورود معتبر مانند نام کاربری هستند. اگرچه مستقیماً یک آسیبپذیری نیست، اما استاندارد یا آسان تشخیص خودکار نامهای کاربر، حملات احراز هویت brute-force را برای مهاجمان آسانتر میکند. کارشناسان امنیتی معمولاً به مخفی کردن نامهای کاربری به عنوان «امنیت توسط مبهم» اشاره میکنند که مفهومی منفی دارد. با این حال، ما معتقدیم که هرگونه اقدام امنیتی که با عملکرد سایت شما تداخل نداشته باشد و در عین حال حداقل برخی از حملات خودکار را خنثی کند، به امنیت کمک می کند و باید در نظر گرفته شود.
به طور پیش فرض، وردپرس در برابر تلاش های شمارش کاربران آسیب پذیر است. همراه با شیوه های نامناسب رمز عبور، شمارش کاربر، احتمال موفقیت یک حمله احراز هویت brute-force را بسیار بیشتر می کند. به همین دلیل است که Really Simple SSL به شما امکان می دهد اقدامات امنیتی زیر را اجرا کنید تا شمارش کاربران بسیار دشوارتر شود:
- از استفاده از نام کاربری “admin” جلوگیری کنید
- از تنظیم نام نمایش عمومی برابر با نام کاربری جلوگیری کنید.
- جلوگیری از بازخورد ورود
- صفحات نویسنده
در زیر ما چند تکنیک شناخته شده شمارش کاربر را فهرست می کنیم که Really Simple SSL به جلوگیری از آنها کمک می کند.
از استفاده از نام کاربری “admin” جلوگیری کنید
این تنظیم از استفاده از “admin” به عنوان نام کاربری جلوگیری می کند. به طور پیش فرض وردپرس در هنگام نصب یک کاربر «مدیر» ایجاد می کند. وقتی این تنظیم را در Really Simple SSL فعال میکنید، ما یک کاربر «admin» را بررسی میکنیم و نام کاربری را تغییر میدهیم. علاوه بر این، از ایجاد یک کاربر جدید با نام “admin” جلوگیری خواهد شد.
از تنظیم نام نمایش عمومی برابر با نام کاربری جلوگیری کنید
این تنظیم از ایجاد کاربرانی با نام کاربری برابر با نام نمایشی جلوگیری می کند. از آنجایی که نام های نمایشی به راحتی در وب سایت شما یافت می شوند، داشتن کاربرانی با نام کاربری مشابه خطر حمله شمارش کاربر را افزایش می دهد.
جلوگیری از بازخورد ورود
بهطور پیشفرض، وردپرس بازخوردی را در صورت وارد کردن نام کاربری غیر موجود یا وجود نام کاربری، اما رمز ورود، بازخورد ارائه میکند. این بازخورد تأیید نام کاربری و حدس زدن رمز عبور را بسیار آسان تر می کند. SSL واقعا ساده به شما امکان می دهد این بازخورد متنی را غیرفعال کنید. البته توجه داشته باشید که حتی اگر اعلانهای «گذرواژه اشتباه» غیرفعال شوند، هکرها ممکن است بتوانند تشخیص دهند که آیا نام کاربری مشخصی برای وبسایت وردپرس وجود دارد یا خیر، بر اساس زمان پاسخگویی که سایت برای بررسی رمز عبور برای یک کاربر موجود طول میکشد. در مقایسه با کاربری که این کار را نمی کند.
صفحات نویسنده
وردپرس برای هر کاربر صفحات نویسنده ایجاد می کند. URL این صفحه حاوی نام کاربری است. استفاده از آن مستلزم امتحان تصادفی آدرسهای اینترنتی با نامهای کاربری است. یکی از راه های بسیار آسان برای شمارش نویسندگان، استفاده از صفحات شناسه نویسنده است. (yoursite.com)/?author=(ID). با این کار بازدید کننده به نام نویسنده مربوطه هدایت می شود. SSL Really Simple وقتی که شمارش کاربر غیرفعال باشد، درخواستها به آدرس نویسنده-ID را مسدود میکند.