Plattform für Internetsicherheit
Home » WordPress Security » WordPress-Benutzernamen vor Auslesen schützen

WordPress User Enumeration

Die Benutzernamen Ihrer WordPress-Installation privat halten.

WordPress-Benutzernamen vor Auslesen schützen

Überprüfung auf Benutzer-Enumerations-Schwachstellen

Im Rahmen unseres umfassenden WordPress Website-Sicherheitscheck bieten wir eine spezielle Überprüfung auf Benutzer-Enumerations-Schwachstellen an. Dieser Test ist besonders für WordPress-Nutzer von entscheidender Bedeutung, da viele Standard-Installationen anfällig für diese Art von Sicherheitslücke sind.

WordPress Installation auf Sicherheitslücken testen »

Die Sicherung Ihrer WordPress-Installation gegen Benutzer-Enumeration durch Abschalten der REST API ist ein wichtiger Schritt zur Verbesserung der Gesamtsicherheit Ihrer Website.

Zusätzlich sollte man die Sichtbarkeit der Benutzernamen in Kommentaren unterbinden. Damit wird verhindert, dass Angreifer durch das Kommentarsystem an Benutzernamen gelangen.

Das Abfragen der WordPress-Benutzernamen sperren.

Die WordPress-Profis härten jede WP-Installation gegen alle Angriffe wie User-Enumeration, SQL-Injektionen und Cross-Site-Scripting. Mit Sicherheit!

Aufruf der Benutzer-URL unterbinden

Benutzernamen einer WordPress-Installation auslesen zu können, ist eine häufige Sicherheitslücke, die von Angreifern genutzt wird, um weiterführende Attacken wie Brute-Force-Angriffe durchzuführen. In diesem Artikel erklären wir, wie diese Lücke entsteht, wie Angreifer vorgehen und wie Sie Ihre Website effektiv schützen können.

Was ist Benutzer-Enumeration?

Benutzer-Enumeration bezieht sich auf die Praxis, Benutzernamen einer WordPress-Website herauszufinden. Dies kann über verschiedene Methoden geschehen, wie z.B. über das REST API-Endpunkt /wp-json/wp/v2/users, der standardmäßig aktiviert ist und oft Benutzerdaten preisgibt.

Wie funktioniert Benutzer-Enumeration?

Angreifer nutzen automatisierte Skripte oder Tools, um den /wp-json/wp/v2/users Endpunkt aufzurufen. Wenn dieser Endpunkt aktiviert ist und nicht richtig gesichert wurde, gibt er Benutzernamen und IDs der registrierten Nutzer zurück. Mit diesen Informationen können Angreifer gezielte Brute-Force-Angriffe auf die Anmelde-Seiten der Website starten.

Beispiel für einen erfolgreichen Angriff

Ein typisches Beispiel sieht wie folgt aus: Ein Angreifer sendet eine Anfrage an https://ihre-website.de/wp-json/wp/v2/users und erhält eine Liste von Benutzernamen und IDs. Diese Informationen nutzt er, um automatisierte Anmeldeversuche durchzuführen, bis er ein passendes Passwort gefunden hat.

Schutzmaßnahmen gegen Benutzer-Enumeration

Es gibt verschiedene Maßnahmen, die Sie ergreifen können, um Ihre WordPress-Installation vor Benutzer-Enumeration zu schützen:

  • REST API deaktivieren oder einschränken: Deaktivieren Sie die REST API für nicht authentifizierte Benutzer oder nutzen Sie Plugins wie „Disable REST API“, um den Zugriff zu beschränken.
  • Sicherheits-Plugins nutzen: Installieren Sie Sicherheits-Plugins wie „Wordfence“ oder „iThemes Security“, die Schutzmechanismen gegen Benutzer-Enumeration bieten.
  • Benutzerfreundliche Fehlermeldungen: Vermeiden Sie detaillierte Fehlermeldungen bei fehlgeschlagenen Anmeldeversuchen, die Benutzernamen preisgeben könnten.
  • Starke Passwörter: Stellen Sie sicher, dass alle Benutzer starke und einzigartige Passwörter verwenden.
  • Zwei-Faktor-Authentifizierung: Implementieren Sie Zwei-Faktor-Authentifizierung (2FA) für alle Benutzerkonten.
  • Login-Versuche begrenzen: Begrenzen Sie die Anzahl der zulässigen Anmeldeversuche, um Brute-Force-Angriffe zu verhindern.

War dieser Artikel hilfreich?

3
0

Code-Beispiele um WordPress-Benutzernamen zu schützen

Anpassung der WordPress REST-API zur Verhinderung der Benutzeraufzählung:

  • WordPress REST API komplett abschalten:
    Dieser Code schaltet die WordPress REST API komplett ab, indem er immer eine Fehlermeldung ausgibt, wenn auf die API zugegriffen wird.
    So funktionierts:
    Der Filter rest_authentication_errors überprüft, ob ein API-Zugriff fehlschlägt.
    Falls der API-Aufruf erfolgreich ist, wird ein neuer Fehler erzeugt, der den Zugriff mit einer 401-Fehlermeldung blockiert.
  • Nicht eingeloggte Benutzer blockieren:
    Dieser Code erlaubt nur angemeldeten Benutzern die Nutzung der WordPress REST API. Nicht eingeloggte Benutzer werden blockiert.
    So funktionierts:
    Der Filter rest_api_init wird verwendet, um die API-Anfrage zu initialisieren.
    Wenn der Benutzer nicht eingeloggt ist, wird die Funktion wp_die() aufgerufen, um die Anfrage zu beenden.
  • Bestimmte REST API-Endpunkte entfernen:
    Dieser Code entfernt bestimmte REST API-Endpunkte, z. B. für Benutzer und Einstellungen, und verhindert so den Zugriff auf sensible Daten.
    So funktionierts:
    Der Filter rest_endpoints ermöglicht es, die verfügbaren Endpunkte der REST API zu verändern.
    Im Code wird nach den Endpunkten users und settings gesucht, und diese werden entfernt, falls sie vorhanden sind.
  • Sichtbarkeit der Benutzernamen in Kommentaren unterbinden:
    Um Ihre WordPress-Benutzernamen zu schützen und zu verhindern, dass sie in den Kommentaren angezeigt werden, können Sie die Autor-CSS-Klasse entfernen. Diese Klasse enthält standardmäßig den Benutzernamen, was ein Sicherheitsrisiko darstellt. Angreifer könnten versuchen, zuerst den Benutzernamen herauszufinden, um anschließend das Passwort zu knacken. Mit dieser Funktion wird der Benutzername aus der CSS-Klasse der Kommentare entfernt.
    So funktionierts:
    Die Funktion remove_comment_author_class durchsucht die CSS-Klassen der Kommentare und entfernt jede Klasse, die den Benutzernamen enthält (z. B. comment-author-admin).
    Der add_filter-Befehl sorgt dafür, dass die Funktion auf alle Kommentar-Klassen angewendet wird, bevor sie ausgegeben werden.
functions.php
/* WordPress REST API komplett abschalten */
add_filter('rest_authentication_errors', 'turn_off_rest_api');
function turn_off_rest_api($errors) {

    if (is_wp_error($errors)) {
        return $errors;
    }

    return new WP_Error('no_rest_api_sorry', 'REST API nicht erlaubt', array('status' => 401));
}
functions.php
/* WordPress REST API nur für angemeldete Benutzer */
add_filter('rest_api_init', 'rest_only_for_authorized_users', 99);
function rest_only_for_authorized_users($wp_rest_server) {
    if (!is_user_logged_in()) {
        return new WP_Error('rest_not_logged_in', 'Du musst eingeloggt sein, um auf die REST API zuzugreifen.', array('status' => 401));
    }
}
functions.php
/* bestimmte REST API-Endpunkte entfernen z.B. für Benutzer und Einstellungen */
add_filter('rest_endpoints', function ($endpoints) {
    $endpoints_to_remove = array(
        'users',
        'settings'
    );

    foreach ($endpoints_to_remove as $endpoint) {
        $base_endpoint = "/wp/v2/{$endpoint}";
        foreach ($endpoints as $maybe_endpoint => $object) {
            if (strpos($maybe_endpoint, $base_endpoint) !== false) {
                unset($endpoints[$maybe_endpoint]);
            }
        }
    }

    return $endpoints;
});
functions.php
/* Benutzernamen aus Autor-CSS-Klasse der Kommentare entfernen */
function remove_comment_author_class( $classes ) {
    foreach( $classes as $key => $class ) {
        if (strstr($class, "comment-author-")) {
            unset($classes[$key]);
        }
    }
    return $classes;
}
add_filter('comment_class', 'remove_comment_author_class');

Häufig gestellte Fragen (FAQs) zur WordPress-User-Enumeration:

a

Was ist Benutzer-Enumeration?

Benutzer-Enumeration ist das Auslesen von Benutzernamen und IDs einer WordPress-Website, um weiterführende Angriffe zu erleichtern.

Benutzer-Enumeration ist das Auslesen von Benutzernamen und IDs einer WordPress-Website, um weiterführende Angriffe zu erleichtern.

a

Wie kann ich die REST API in WordPress deaktivieren?

Sie können die REST API Schnittstelle mithilfe von Plugins wie „Disable REST API“ oder durch Code-Anpassungen in der functions.php Datei schließen.

Über die REST API von WordPress lassen sich die Benutzernamen der Autoren auslesen. Sie können die REST API Schnittstelle mithilfe von Plugins wie „Disable REST API“ oder durch Code-Anpassungen in der functions.php Datei schließen.

a

Welche Sicherheits-Plugins schützen vor User-Enumeration?

Hier sind einige WordPress-Sicherheits-Plugins, die vor Benutzer-Enumeration schützen:

  • Stop User Enumeration
  • Wordfence
  • WP Hardening

Denken Sie daran, dass die Verwendung von Nicknames anstelle von Benutzernamen in parsable Inhalten ebenfalls hilfreich ist, um die Offenlegung von Benutzernamen zu vermeiden.

a

Wie kann ich die Liste der Benutzer in WordPress sehen?

Um die Liste der Benutzer in WordPress einzusehen, melden Sie sich im Admin-Bereich Ihrer WordPress-Website an. Navigieren Sie anschließend zum Menüpunkt „Benutzer“.

Um die Liste der Benutzer in WordPress einzusehen, melden Sie sich im Admin-Bereich Ihrer WordPress-Website an. Navigieren Sie anschließend zum Menüpunkt „Benutzer“. Dort finden Sie eine Übersicht aller registrierten Benutzer, inklusive deren Benutzernamen, Rollen und weiterer Details. Dies ermöglicht Ihnen die Verwaltung und Kontrolle der Benutzer auf Ihrer Website.

a

Wie gefährlich ist User-Enumeration für meine Website?

User-Enumeration ist eine ernste Sicherheitslücke, die erhebliche Risiken für Ihre Website mit sich bringen kann. Durch diese Schwachstelle können Angreifer herausfinden, welche Benutzernamen auf Ihrer WordPress-Website existieren.

User-Enumeration ist eine ernste Sicherheitslücke, die erhebliche Risiken für Ihre Website mit sich bringen kann. Durch diese Schwachstelle können Angreifer herausfinden, welche Benutzernamen auf Ihrer WordPress-Website existieren. Dies ermöglicht es ihnen, gezielte Angriffe durchzuführen, wie zum Beispiel:

  • Brute-Force-Angriffe: Mit den ermittelten Benutzernamen können Angreifer automatisierte Skripte verwenden, um verschiedene Passwortkombinationen auszuprobieren und so Zugang zu den Benutzerkonten zu erlangen.
  • Phishing-Angriffe: Bekannte Benutzernamen können für gezielte Phishing-Angriffe genutzt werden, um Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben.
  • Erhöhung der Angriffswahrscheinlichkeit: Je mehr Informationen ein Angreifer über die Benutzerstruktur Ihrer Website hat, desto höher ist die Wahrscheinlichkeit, dass ein Angriff erfolgreich ist.

Um Ihre Website vor den Risiken der User-Enumeration zu schützen, empfehlen wir Ihnen dringend, einen Sicherheitscheck durchzuführen und geeignete Maßnahmen zu ergreifen.

a

Kann User-Enumeration zu unbefugtem Zugriff auf Benutzerkonten führen?

Ja, wenn ein Benutzername bekannt ist, kann dies Brute-Force- oder Password-Spraying-Angriffe erleichtern, die letztlich zu unbefugtem Zugriff auf Benutzerkonten führen können.

Ja, wenn ein Benutzername bekannt ist, kann dies Brute-Force- oder Password-Spraying-Angriffe erleichtern, die letztlich zu unbefugtem Zugriff auf Benutzerkonten führen können. Durch diese Angriffe versuchen Cyberkriminelle, verschiedene Passwörter auszuprobieren, um sich Zugang zu den Konten zu verschaffen. Daher ist es wichtig, Maßnahmen zu ergreifen, um User-Enumeration zu verhindern und die Sicherheit Ihrer Website zu gewährleisten.

GetSafe 360° Box

360° Website OptimierungWordPress-TuneUp

Sichern der Administration und Login-Seite
Auslesen von Benutzernamen verhindern
Inhaltsicherheitsrichtlinie (CSP)
Blockieren verdächtiger User-Agents
SQL-Injections und XSS-Absicherung
HTTP-Sicherheits-Header

Normalerweise 145,-
Zeitlich befristetes Angebot zum Sonderpreis für nur

95,-
100% Geld-zurück-Garantie – keine Folgekosten.
Preis versteht sich als Nettopreis zuzüglich Mehrwertsteuer.

Jetzt Starten »