[WordPress] 外掛分享： No User Enumeration

前言介紹

• 這款 WordPress 外掛「No User Enumeration」是 2016-04-03 上架。
• 目前有 200 個安裝啟用數。
• 上一次更新是 2019-10-23，距離現在已有 2021 天。超過一年沒更新，安裝要確認版本是否可用。以及後續維護問題！
• 外掛最低要求 WordPress 2.9 以上版本才可以安裝。
• 尚未有人給過這款外掛評分。
• 還沒有人在論壇上發問，可能目前使用數不多，還沒有什麼大問題。

外掛協作開發者

carlost800 |

外掛標籤

wpscan | security | user enumeration |

內容簡介

許多 WordPress 安裝可以透過作者存檔列舉出使用者名稱，使用像這樣的 URL：

http://wpsite/?author=1

http://wpsite/?author=1/

http://wpsite/?bypass=1&author%00=1

http://wpsite/?author%00=%001

http://wpsite/?%61uthor=1

自 WordPress 4.7 起，它內建了 REST API，可允許列出使用者：

curl -s http://wpsite/wp-json/wp/v2/users/
curl -s http://wpsite/?rest_route=/wp/v2/users
curl http://wpsite/?_method=GET -d rest_route=/wp/v2/users

知道管理員的使用者名稱是成功一半，現在攻擊者只需要猜測密碼即可。
這個外掛就是為了防止它發生。

此外，從文章條目中也可以獲得使用者名稱。
這個外掛會在文章條目中隱藏作者的名字，如果他沒有使用暱稱的話。
同時，也會隱藏一位管理員作者的網頁链接。

主要目標是隱藏管理員的使用者名稱。
顯然，最好不要選擇 “admin” 為使用者名稱，因為很容易被猜到。

原文外掛簡介

In many WordPress installations is possible enumerate usernames through the author archives, using urls like this:
http://wpsite/?author=1
http://wpsite/?author=1/
http://wpsite/?bypass=1&author%00=1
http://wpsite/?author%00=%001
http://wpsite/?%61uthor=1
And recently wordpress since 4.7 comes with a rest api integrated that allow list users:
curl -s http://wpsite/wp-json/wp/v2/users/
curl -s http://wpsite/?rest_route=/wp/v2/users
curl http://wpsite/?_method=GET -d rest_route=/wp/v2/users
Know the username of a administrator is the half battle, now an attacker only need guest the password.
This plugin stop it.
Also, is possible get usernames from the post entries.
This plugin, hide the name of the author in a post entry if he is not using a nickname.
Also, hide the url page link of an administrator author.
The main goal is hide the administrators usernames.
Obviously, is better not choose “admin” as the username because is easiliy guessable.

各版本下載點

• 方法一：點下方版本號的連結下載 ZIP 檔案後，登入網站後台左側選單「外掛」的「安裝外掛」，然後選擇上方的「上傳外掛」，把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
• 方法二：透過「安裝外掛」的畫面右方搜尋功能，搜尋外掛名稱「No User Enumeration」來進行安裝。

（建議使用方法二，確保安裝的版本符合當前運作的 WordPress 環境。

---

1.0 | 1.1 | 1.2 | 1.3 | 1.3.1 | 1.3.2 | trunk |

延伸相關外掛（你可能也想知道）

• Stop User Enumeration 》Stop User Enumeration 是一款安全插件，旨在檢測和防止黑客掃描您的網站以查找用戶登錄名稱。, 用戶枚舉是一種攻擊方式，邪惡的人可以探測您的網站並發現您...。
• WP Author Security 》WP Author Security是一款輕量但功能強大的外掛，可以保護作者頁面和其他可以獲取有效用戶名稱的地方，以防止用戶枚舉攻擊。, 默認情況下，WordPress會在作者...。
• Disable User Enumeration 》使用者列舉可以用於暴力破解技術，以猜測或確認系統中的有效使用者。使用者列舉通常是網頁應用程式的漏洞，但也可以在任何需要使用者驗證的系統中找到。, 列...。
• No Login User Enumeration 》這個外掛用於避免 WordPress 登入表單中的用戶枚舉。它通過簡單地始終返回相同的錯誤訊息達到這個目的，無論是只有密碼不正確還是用戶名和密碼都不正確。返回...。
• Double Knot 》這個外掛會檢查是否有一些不存在於使用者表中的常見使用者名稱。如果提交的使用者名稱符合設定標準，則將會封鎖該使用者的 IP，不讓其進入網站。, , 此外，此...。
• Super Simple Account Enumeration Blocker 》在2017年WordCamp St. Louis演講後 http://wordpress.tv/2017/03/29/paul-gilzow-access-denied-keeping-yourself-off-an-attackers-radar/，, 有人問我是否...。
• Prevent user name and email leakage 》防止使用者名稱的列舉及其他類型的使用者名稱和電子郵件外洩。, 具體執行以下操作：, 1. 當網站設置為使用漂亮的永久連結時，該外掛將阻止, 自動重新導向...。