前言介紹
- 這款 WordPress 外掛「Prevent user name and email leakage」是 2017-12-24 上架。
- 目前尚無安裝啟用數,是個很新的外掛。如有要安裝使用,建議多測試確保功能沒問題!
- 上一次更新是 2018-04-22,距離現在已有 2569 天。超過一年沒更新,安裝要確認版本是否可用。以及後續維護問題!
- 外掛最低要求 WordPress 4.5 以上版本才可以安裝。
- 外掛要求網站主機運作至少需要 PHP 版本 7.0 以上。
- 尚未有人給過這款外掛評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
mark-k |
外掛標籤
privacy | security | calmPress | user enumeration |
內容簡介
防止使用者名稱的列舉及其他類型的使用者名稱和電子郵件外洩。
具體執行以下操作:
1. 當網站設置為使用漂亮的永久連結時,該外掛將阻止
自動重新導向文本包含使用者ID的網址,如example.com/?author=1,至
類似example.com/author/admin的頁面。這會洩露使用者admin的存在,
可以進一步用於暴力攻擊。
(這也被稱為“使用者列舉”)。
使用REST API僅限管理員使用者名稱相關信息(實際使用者名稱
和使用者文章頁面URL)。
在登錄頁面上防止驗證失敗通知,以公開
顯示不同信息導致使用者名稱/使用者電子郵件的存在被顯示出來,
當使用者名稱/電子郵件不正確時和當密碼不正確時顯示不同的訊息。
只顯示相同的失敗訊息。
防止重置密碼機制揭露使用者名稱/使用者電子郵件,
由於在DB中顯示了不同信息而顯示出不同的訊息,在需要重置的使用者/電子郵件存在時,
當它不存在時。只顯示相同的訊息。
即使使用該外掛,如果您的佈景主題在鏈接時顯示作者資訊,
那仍然可能會用於使用者名稱外洩。 在這種情況下,您應該
考慮使用像https://wordpress.org/plugins/authors-as-taxonomy/這樣的外掛
完全分離使用者和作者資訊。
該外掛無法處理使用gravatar時的外洩,
因為這需要更換gravatar功能本身,
且比其他漏洞難以利用。
最後,目前沒有涵蓋的濃縮洞穴,但可能在未來涵蓋,
是通過登錄過程進行的信息外洩。由於大多數安裝不允許人們登錄,因此我們將其留待以後處理。
有關外掛的更多信息,請參閱其主頁https://calmpress.org/wordpress-plugins/prevent-user-name-and-email-leakage/
文檔
貢獻
歡迎提交拉取請求、錯誤報告和/或增強建議https://github.com/calmPress/Authors-as-taxonomy
原文外掛簡介
Stops user name enumeration and other type of user name and email leakages.
Specifically does the following:
1. When the site is configured to use pretty permalinks, the plugin will prevent
the automatic redirect of usrl which include user ID, like example.com/?author=1, to
something like example.com/author/admin which will leak the existence of a user
named admin which can be used in further brute force attacks.
(This is also know as “user enumeration”).
With the REST API restrict user name related information (actual user name
and user posts page URL) to only admin users.
Preventing authentication failure notices on the login page to disclose
the existence of user names/user emails resulting from displaying different
messages hen the user is incorrect and when the password is incorrect. Just
display the same failure message for whatever is the failure reason.
Preventing the reset password mechanism from disclosing user names/user emails
resulting from displaying different messages when a user/email for which a reset
is requested exist in the DB, and when it does not. Just display the same message
for both.
Even with the plugin active, if your theme displays author information while linking
to author pages this can be used for user name leakage. In this case you should
think about totally decoupling user and author information with plugins like
Another thing that the plugin do not do is to handle leakage resulting from the use
of gravatar, as this requires a replacement of gravatar functionality itself and
it is much harder to exploit than the other leakages.
And last leakage hole not covered right now, but might be covered in the future,
is leakage of information via the sign in process. We leave it for later as most
installs do not allow people to sign in.
Read more on the plugins main page https://calmpress.org/wordpress-plugins/prevent-user-name-and-email-leakage/
Documentation
Contribute
Pull Requests, bug reports and/or enhancement suggestions are welcome at https://github.com/calmPress/Authors-as-taxonomy
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「Prevent user name and email leakage」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
延伸相關外掛(你可能也想知道)
Stop User Enumeration 》Stop User Enumeration 是一款安全插件,旨在檢測和防止黑客掃描您的網站以查找用戶登錄名稱。, 用戶枚舉是一種攻擊方式,邪惡的人可以探測您的網站並發現您...。
WP Author Security 》WP Author Security是一款輕量但功能強大的外掛,可以保護作者頁面和其他可以獲取有效用戶名稱的地方,以防止用戶枚舉攻擊。, 默認情況下,WordPress會在作者...。
No User Enumeration 》許多 WordPress 安裝可以透過作者存檔列舉出使用者名稱,使用像這樣的 URL:, http://wpsite/?author=1, http://wpsite/?author=1/, http://wpsite/?bypass=1...。
Disable User Enumeration 》使用者列舉可以用於暴力破解技術,以猜測或確認系統中的有效使用者。使用者列舉通常是網頁應用程式的漏洞,但也可以在任何需要使用者驗證的系統中找到。, 列...。
No Login User Enumeration 》這個外掛用於避免 WordPress 登入表單中的用戶枚舉。它通過簡單地始終返回相同的錯誤訊息達到這個目的,無論是只有密碼不正確還是用戶名和密碼都不正確。返回...。
Double Knot 》這個外掛會檢查是否有一些不存在於使用者表中的常見使用者名稱。如果提交的使用者名稱符合設定標準,則將會封鎖該使用者的 IP,不讓其進入網站。, , 此外,此...。
Super Simple Account Enumeration Blocker 》在2017年WordCamp St. Louis演講後 http://wordpress.tv/2017/03/29/paul-gilzow-access-denied-keeping-yourself-off-an-attackers-radar/,, 有人問我是否...。