WordPress – Prevent Enumeration of Usernames

WordPress – Prevent Enumeration of Usernames

di Pubblicato: 15 ottobre 2015 Aggiornato: 8 dicembre 2015 0 commenti

Purtroppo WordPress permette di “enumerare” gli utenti registrati di una installazione di WordPress. L’unico motivo che mi viene in mente è per una questione di Search Engine Optimization, per contro però stiamo fornendo un dato importante ad un eventuale malintenzionato. Infatti l’enumerazione fornisce di fatto la user-name, per cui chi intendesse attaccare sa per certo che la prima parte della classica coppia utente/chiave è sicuramente quella.

La query per ottenere l’enumerazione è /?author=1 dove chi effettuata la scansione parte dal valore 1 a salire.

Potete provare voi stessi nel vostro sito, inserite dopo il dominio la stringa di cui sopra, e vi vedrete ritornare il primo utente utile.

Una soluzione è quella di ricorrere ad Apache con .htaccess e bloccare questa possibilità.

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

La prima riga intercetta proprio author, mentre la seconda gli da un bel valore 301, ovvero una re-direzione, in questo caso alla root di dominio, ovvero alla vostra Home Page.

Va detto che tutto ciò ha valore per bloccare questa funzione base di WordPress. Tuttavia molto spesso i temi offrono una cosa simile, quella ad esempio di mostrare tutti gli articoli creati da un autore. Questa funzione di fatto è la medesima, poiché utilizza la stessa meccanica di funzionamento, ma al contrario di quanto esposto sopra non è una pratica che può essere sottoposta ad un bot scanner, perché integrata nel tema, ed ognuno di questi è differente dagli altri.

 

Ti è stato utile questo articolo?
Considera una piccola donazione: Bitcoin 35CGcJ2NzV9oUHmJwGzBp8QVRoWcaDdCiz oppure Paypal

Vuoi dire o aggiungere qualcosa?

sezione commenti aperta al pubblico

Non ci sono ancora commenti!

Puoi essere il primo a commentare.

Rispondi