前言介紹
- 這款 WordPress 外掛「Prevent user name and email leakage」是 2017-12-24 上架。
- 目前尚無安裝啟用數,是個很新的外掛。如有要安裝使用,建議多測試確保功能沒問題!
- 上一次更新是 2018-04-22,距離現在已有 2866 天。超過一年沒更新,安裝要確認版本是否可用。以及後續維護問題!
- 外掛最低要求 WordPress 4.5 以上版本才可以安裝。
- 外掛要求網站主機運作至少需要 PHP 版本 7.0 以上。
- 尚未有人給過這款外掛評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
mark-k |
外掛標籤
privacy | security | calmPress | user enumeration |
內容簡介
防止使用者名稱的列舉及其他類型的使用者名稱和電子郵件外洩。
具體執行以下操作:
1. 當網站設置為使用漂亮的永久連結時,該外掛將阻止
自動重新導向文本包含使用者ID的網址,如example.com/?author=1,至
類似example.com/author/admin的頁面。這會洩露使用者admin的存在,
可以進一步用於暴力攻擊。
(這也被稱為“使用者列舉”)。
使用REST API僅限管理員使用者名稱相關信息(實際使用者名稱
和使用者文章頁面URL)。
在登錄頁面上防止驗證失敗通知,以公開
顯示不同信息導致使用者名稱/使用者電子郵件的存在被顯示出來,
當使用者名稱/電子郵件不正確時和當密碼不正確時顯示不同的訊息。
只顯示相同的失敗訊息。
防止重置密碼機制揭露使用者名稱/使用者電子郵件,
由於在DB中顯示了不同信息而顯示出不同的訊息,在需要重置的使用者/電子郵件存在時,
當它不存在時。只顯示相同的訊息。
即使使用該外掛,如果您的佈景主題在鏈接時顯示作者資訊,
那仍然可能會用於使用者名稱外洩。 在這種情況下,您應該
考慮使用像https://wordpress.org/plugins/authors-as-taxonomy/這樣的外掛
完全分離使用者和作者資訊。
該外掛無法處理使用gravatar時的外洩,
因為這需要更換gravatar功能本身,
且比其他漏洞難以利用。
最後,目前沒有涵蓋的濃縮洞穴,但可能在未來涵蓋,
是通過登錄過程進行的信息外洩。由於大多數安裝不允許人們登錄,因此我們將其留待以後處理。
有關外掛的更多信息,請參閱其主頁https://calmpress.org/wordpress-plugins/prevent-user-name-and-email-leakage/
文檔
貢獻
歡迎提交拉取請求、錯誤報告和/或增強建議https://github.com/calmPress/Authors-as-taxonomy
原文外掛簡介
Stops user name enumeration and other type of user name and email leakages.
Specifically does the following:
1. When the site is configured to use pretty permalinks, the plugin will prevent
the automatic redirect of usrl which include user ID, like example.com/?author=1, to
something like example.com/author/admin which will leak the existence of a user
named admin which can be used in further brute force attacks.
(This is also know as “user enumeration”).
With the REST API restrict user name related information (actual user name
and user posts page URL) to only admin users.
Preventing authentication failure notices on the login page to disclose
the existence of user names/user emails resulting from displaying different
messages hen the user is incorrect and when the password is incorrect. Just
display the same failure message for whatever is the failure reason.
Preventing the reset password mechanism from disclosing user names/user emails
resulting from displaying different messages when a user/email for which a reset
is requested exist in the DB, and when it does not. Just display the same message
for both.
Even with the plugin active, if your theme displays author information while linking
to author pages this can be used for user name leakage. In this case you should
think about totally decoupling user and author information with plugins like
Another thing that the plugin do not do is to handle leakage resulting from the use
of gravatar, as this requires a replacement of gravatar functionality itself and
it is much harder to exploit than the other leakages.
And last leakage hole not covered right now, but might be covered in the future,
is leakage of information via the sign in process. We leave it for later as most
installs do not allow people to sign in.
Read more on the plugins main page https://calmpress.org/wordpress-plugins/prevent-user-name-and-email-leakage/
Documentation
Contribute
Pull Requests, bug reports and/or enhancement suggestions are welcome at https://github.com/calmPress/Authors-as-taxonomy
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「Prevent user name and email leakage」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
延伸相關外掛(你可能也想知道)
Complianz – GDPR/CCPA Cookie Consent 》Complianz 是一款支援 GDPR、ePrivacy、DSGVO、TTDSG、LGPD、POPIA、APA、RGPD、CCPA/CPRA和PIPEDA 的插件,提供基於Cookie掃描結果的條件Cookie通知和自定義...。
Cookie Notice & Compliance for GDPR / CCPA 》Cookie Notice 提供簡單易定制的網站橫幅,以協助你的網站遵守歐盟 GDPR cookie 法律以及 CCPA 法規下的某些cookie同意要求,並與 Cookie Compliance 無縫集...。
WP Consent API 》WP Consent API 是一個外掛,可以標準化插件之間同意的同意類別溝通。它需要使用 Cookie 標語插件和至少一個支援 WP Consent API 的其他插件。, , 有了這個插...。
Statify 》Statify 提供了一個簡單明瞭且節省空間的網站瀏覽次數查詢功能。它是隱私友好的,因為它既不使用 Cookies,也不使用第三方。, 一個互動圖表後面會顯示參照來...。
Cookiebot by Usercentrics – Automatic Cookie Banner for GDPR/CCPA & Google Consent Mode 》Cookiebot Consent Management Platform (CMP) 是一個易於使用且全自動的 WordPress Cookie 橫幅。它可符合 GDPR、LGPD、CCPA 及其他隱私法規,並通過讓網站...。
Termly – GDPR/CCPA Cookie Consent Banner 》Termly 的 GDPR Cookie Consent Banner 是 WordPress 中最簡便、有效、且流行之 cookie 同意外掛之一。透過 Termly 所提供之自訂 cookie 同意橫幅及 cookie ...。
Gravatar Enhanced – Avatars, Profiles, and Privacy 》Gravatar Enhanced為您的網站增加了一些很酷的功能:, , 復古風格(生成的)Gravatar, 啟用Hovercards, 向在您的網站上評論但沒有Gravatar的人發送定制的Gravat...。
Force Login 》這款 WordPress 外掛能夠輕鬆地透過設定需要登入來隱藏您的網站,讓訪客必須先進行登入才能查看網站。只需按下開關,就能完成。, 讓您的網站在還未公開之前保...。
Restricted Site Access 》此外掛能限制訪客的存取權限,只有登入或從特定IP地址存取的訪客才能訪問您的網站;同時,還能將被限制的訪客引導至登入頁面、重新導向、顯示訊息或頁面等功...。
My Private Site 》本外掛可讓管理員將 WordPress 網站限制僅供已註冊且已登入的使用者查看,任何未登入的使用者試圖查看網站上的任何頁面、文章或其他部分,都會顯示 WordPress...。
Statify – Extended Evaluation 》這個外掛程式評估了使用隱私友好的Statify外掛所收集的數據。Statify僅儲存每個頁面瀏覽的日期、引薦人和目標網址。, 這個外掛程式根據以下標準進行評估:, ,...。
WP Hide Post 》這個外掛強在幫助你完全控制文章的顯示方式。在 WordPress 網誌上,一般加入的文章會顯示在首頁中,通常是第一篇位置,也會同樣顯示在分類、標籤、存檔頁面等...。
WP DSGVO Tools (GDPR) 》一站式解決方案, 作為 WP GDPR 的使用者,您只需要完成兩個簡單的任務:, , 選擇使用的服務, 填寫幾個輸入欄位, , WP GDPR 其他所有事項都會處理:, , 創建 c...。
PublishPress Permissions: Control User Access for Posts, Pages, Categories, Tags 》或標籤,你會看到一個名為「權限:編輯此內容」的方塊,它允許你為每個用戶角色、個別用戶或用戶群組設置「啟用」或「拒絕」的權限。你還可以設置所有訪客和...。
Plausible Analytics 》Plausible Analytics 是一個簡單、開源、輕量且注重隱私的網站分析工具,是 Google Analytics 的替代品。, , Plausible Analytics 不使用 cookies,完全符合 ...。