Wordpress nascondere lista utenti da wpscan --enumarate u

Una delle cose più importanti e verificare con wpscan e altri scanner la propria venerabilità del vostro Wordpress installato onde evitare spiacevoli sorprese.

Come ben sappiamo con questo comando su wpscan:

wpscan --url www.nome-sito.com --enumarate u

Possiamo visualizzare tutti gli username del nostro wordpress, cosa non molto gradita, visto che potremmo tentare delle intrusioni...  o peggio dei brutal attack password!

Per evitare questa vulnerabilità basta inserire due regole di Rewrite scritte nel file .htacess all’interno della root directory del sito wordpress:

<IfModule mod_rewrite.c>

RewriteEngine On
RewriteBase /
# block user enumeration
RewriteCond %{QUERY_STRING} (^|&)author=
RewriteRule . http://%{SERVER_NAME}/? [L]

</IfModule>

Salva

kali linux brute force wordpress login Using wpscan.

WPScan è un tool reperibile online che permette a chi lo utilizza di ricavare diverse informazioni sull’ installazione wordpress che si andrà a scansionare. Lo script può essere utile sia all’ amministratore del sito che cerca una maggiore sicurezza, sia al malintenzionato che tenta di trovare un punto di accesso all’installazione.