WordPress User Enumeration
Die Benutzernamen Ihrer WordPress-Installation privat halten.

Benutzer-Enumeration verhindern
Überprüfung auf Benutzer-Enumerations-Schwachstellen
Im Rahmen unseres umfassenden WordPress Website-Sicherheitscheck bieten wir eine spezielle Überprüfung auf Benutzer-Enumerations-Schwachstellen an. Dieser Test ist besonders für WordPress-Nutzer von entscheidender Bedeutung, da viele Standard-Installationen anfällig für diese Art von Sicherheitslücke sind.
Die Sicherung Ihrer WordPress-Installation gegen Benutzer-Enumeration durch Abschalten der REST API ist ein wichtiger Schritt zur Verbesserung der Gesamtsicherheit Ihrer Website.
Zusätzlich sollte man die Sichtbarkeit der Benutzernamen in Kommentaren unterbinden. Damit wird verhindert, dass Angreifer durch das Kommentarsystem an Benutzernamen gelangen.
Das Abfragen der WordPress-Benutzernamen sperren.
Die WordPress-Profis härten jede WP-Installation gegen alle Angriffe wie User-Enumeration, SQL-Injektionen und Cross-Site-Scripting. Mit Sicherheit!
Aufruf der Benutzer-URL unterbinden
Benutzernamen einer WordPress-Installation auslesen zu können, ist eine häufige Sicherheitslücke, die von Angreifern genutzt wird, um weiterführende Attacken wie Brute-Force-Angriffe durchzuführen. In diesem Artikel erklären wir, wie diese Lücke entsteht, wie Angreifer vorgehen und wie Sie Ihre Website effektiv schützen können.
Was ist Benutzer-Enumeration?
Benutzer-Enumeration bezieht sich auf die Praxis, Benutzernamen einer WordPress-Website herauszufinden. Dies kann über verschiedene Methoden geschehen, wie z.B. über das REST API-Endpunkt /wp-json/wp/v2/users
, der standardmäßig aktiviert ist und oft Benutzerdaten preisgibt.
Wie funktioniert Benutzer-Enumeration?
Angreifer nutzen automatisierte Skripte oder Tools, um den /wp-json/wp/v2/users
Endpunkt aufzurufen. Wenn dieser Endpunkt aktiviert ist und nicht richtig gesichert wurde, gibt er Benutzernamen und IDs der registrierten Nutzer zurück. Mit diesen Informationen können Angreifer gezielte Brute-Force-Angriffe auf die Anmelde-Seiten der Website starten.
Beispiel für einen erfolgreichen Angriff
Ein typisches Beispiel sieht wie folgt aus: Ein Angreifer sendet eine Anfrage an https://ihre-website.de/wp-json/wp/v2/users
und erhält eine Liste von Benutzernamen und IDs. Diese Informationen nutzt er, um automatisierte Anmeldeversuche durchzuführen, bis er ein passendes Passwort gefunden hat.
Schutzmaßnahmen gegen Benutzer-Enumeration
Es gibt verschiedene Maßnahmen, die Sie ergreifen können, um Ihre WordPress-Installation vor Benutzer-Enumeration zu schützen:
- REST API deaktivieren oder einschränken: Deaktivieren Sie die REST API für nicht authentifizierte Benutzer oder nutzen Sie Plugins wie „Disable REST API“, um den Zugriff zu beschränken.
- Sicherheits-Plugins nutzen: Installieren Sie Sicherheits-Plugins wie „Wordfence“ oder „iThemes Security“, die Schutzmechanismen gegen Benutzer-Enumeration bieten.
- Benutzerfreundliche Fehlermeldungen: Vermeiden Sie detaillierte Fehlermeldungen bei fehlgeschlagenen Anmeldeversuchen, die Benutzernamen preisgeben könnten.
- Starke Passwörter: Stellen Sie sicher, dass alle Benutzer starke und einzigartige Passwörter verwenden.
- Zwei-Faktor-Authentifizierung: Implementieren Sie Zwei-Faktor-Authentifizierung (2FA) für alle Benutzerkonten.
- Login-Versuche begrenzen: Begrenzen Sie die Anzahl der zulässigen Anmeldeversuche, um Brute-Force-Angriffe zu verhindern.
Code-Beispiele um WordPress-Benutzernamen zu schützen
Anpassung der WordPress REST-API zur Verhinderung der Benutzeraufzählung:
- WordPress REST API komplett abschalten:
Dieser Code schaltet die WordPress REST API komplett ab, indem er immer eine Fehlermeldung ausgibt, wenn auf die API zugegriffen wird.
So funktionierts:
Der Filterrest_authentication_errors
überprüft, ob ein API-Zugriff fehlschlägt.
Falls der API-Aufruf erfolgreich ist, wird ein neuer Fehler erzeugt, der den Zugriff mit einer 401-Fehlermeldung blockiert. - Nicht eingeloggte Benutzer blockieren:
Dieser Code erlaubt nur angemeldeten Benutzern die Nutzung der WordPress REST API. Nicht eingeloggte Benutzer werden blockiert.
So funktionierts:
Der Filterrest_api_init
wird verwendet, um die API-Anfrage zu initialisieren.
Wenn der Benutzer nicht eingeloggt ist, wird die Funktionwp_die()
aufgerufen, um die Anfrage zu beenden. - Bestimmte REST API-Endpunkte entfernen:
Dieser Code entfernt bestimmte REST API-Endpunkte, z. B. für Benutzer und Einstellungen, und verhindert so den Zugriff auf sensible Daten.
So funktionierts:
Der Filterrest_endpoints
ermöglicht es, die verfügbaren Endpunkte der REST API zu verändern.
Im Code wird nach den Endpunktenusers
undsettings
gesucht, und diese werden entfernt, falls sie vorhanden sind. - Sichtbarkeit der Benutzernamen in Kommentaren unterbinden:
Um Ihre WordPress-Benutzernamen zu schützen und zu verhindern, dass sie in den Kommentaren angezeigt werden, können Sie die Autor-CSS-Klasse entfernen. Diese Klasse enthält standardmäßig den Benutzernamen, was ein Sicherheitsrisiko darstellt. Angreifer könnten versuchen, zuerst den Benutzernamen herauszufinden, um anschließend das Passwort zu knacken. Mit dieser Funktion wird der Benutzername aus der CSS-Klasse der Kommentare entfernt.
So funktionierts:
Die Funktionremove_comment_author_class
durchsucht die CSS-Klassen der Kommentare und entfernt jede Klasse, die den Benutzernamen enthält (z. B.comment-author-admin
).
Deradd_filter
-Befehl sorgt dafür, dass die Funktion auf alle Kommentar-Klassen angewendet wird, bevor sie ausgegeben werden.
/* WordPress REST API komplett abschalten */
add_filter('rest_authentication_errors', 'turn_off_rest_api');
function turn_off_rest_api($errors) {
if (is_wp_error($errors)) {
return $errors;
}
return new WP_Error('no_rest_api_sorry', 'REST API nicht erlaubt', array('status' => 401));
}
/* WordPress REST API nur für angemeldete Benutzer */
add_filter('rest_api_init', 'rest_only_for_authorized_users', 99);
function rest_only_for_authorized_users($wp_rest_server) {
if (!is_user_logged_in()) {
return new WP_Error('rest_not_logged_in', 'Du musst eingeloggt sein, um auf die REST API zuzugreifen.', array('status' => 401));
}
}
/* bestimmte REST API-Endpunkte entfernen z.B. für Benutzer und Einstellungen */
add_filter('rest_endpoints', function ($endpoints) {
$endpoints_to_remove = array(
'users',
'settings'
);
foreach ($endpoints_to_remove as $endpoint) {
$base_endpoint = "/wp/v2/{$endpoint}";
foreach ($endpoints as $maybe_endpoint => $object) {
if (strpos($maybe_endpoint, $base_endpoint) !== false) {
unset($endpoints[$maybe_endpoint]);
}
}
}
return $endpoints;
});
/* Benutzernamen aus Autor-CSS-Klasse der Kommentare entfernen */
function remove_comment_author_class( $classes ) {
foreach( $classes as $key => $class ) {
if (strstr($class, "comment-author-")) {
unset($classes[$key]);
}
}
return $classes;
}
add_filter('comment_class', 'remove_comment_author_class');
Häufig gestellte Fragen (FAQs) zur WordPress-User-Enumeration:
Benutzer-Enumeration ist das Auslesen von Benutzernamen und IDs einer WordPress-Website, um weiterführende Angriffe zu erleichtern.
Benutzer-Enumeration ist das Auslesen von Benutzernamen und IDs einer WordPress-Website, um weiterführende Angriffe zu erleichtern.
Sie können die REST API Schnittstelle mithilfe von Plugins wie „Disable REST API“ oder durch Code-Anpassungen in der functions.php Datei schließen.
Über die REST API von WordPress lassen sich die Benutzernamen der Autoren auslesen. Sie können die REST API Schnittstelle mithilfe von Plugins wie „Disable REST API“ oder durch Code-Anpassungen in der functions.php
Datei schließen.
Hier sind einige WordPress-Sicherheits-Plugins, die vor Benutzer-Enumeration schützen:
- Stop User Enumeration
- Wordfence
- WP Hardening
Denken Sie daran, dass die Verwendung von Nicknames anstelle von Benutzernamen in parsable Inhalten ebenfalls hilfreich ist, um die Offenlegung von Benutzernamen zu vermeiden.
Um die Liste der Benutzer in WordPress einzusehen, melden Sie sich im Admin-Bereich Ihrer WordPress-Website an. Navigieren Sie anschließend zum Menüpunkt „Benutzer“.
Um die Liste der Benutzer in WordPress einzusehen, melden Sie sich im Admin-Bereich Ihrer WordPress-Website an. Navigieren Sie anschließend zum Menüpunkt „Benutzer“. Dort finden Sie eine Übersicht aller registrierten Benutzer, inklusive deren Benutzernamen, Rollen und weiterer Details. Dies ermöglicht Ihnen die Verwaltung und Kontrolle der Benutzer auf Ihrer Website.
User-Enumeration ist eine ernste Sicherheitslücke, die erhebliche Risiken für Ihre Website mit sich bringen kann. Durch diese Schwachstelle können Angreifer herausfinden, welche Benutzernamen auf Ihrer WordPress-Website existieren.
User-Enumeration ist eine ernste Sicherheitslücke, die erhebliche Risiken für Ihre Website mit sich bringen kann. Durch diese Schwachstelle können Angreifer herausfinden, welche Benutzernamen auf Ihrer WordPress-Website existieren. Dies ermöglicht es ihnen, gezielte Angriffe durchzuführen, wie zum Beispiel:
- Brute-Force-Angriffe: Mit den ermittelten Benutzernamen können Angreifer automatisierte Skripte verwenden, um verschiedene Passwortkombinationen auszuprobieren und so Zugang zu den Benutzerkonten zu erlangen.
- Phishing-Angriffe: Bekannte Benutzernamen können für gezielte Phishing-Angriffe genutzt werden, um Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben.
- Erhöhung der Angriffswahrscheinlichkeit: Je mehr Informationen ein Angreifer über die Benutzerstruktur Ihrer Website hat, desto höher ist die Wahrscheinlichkeit, dass ein Angriff erfolgreich ist.
Um Ihre Website vor den Risiken der User-Enumeration zu schützen, empfehlen wir Ihnen dringend, einen Sicherheitscheck durchzuführen und geeignete Maßnahmen zu ergreifen.
Ja, wenn ein Benutzername bekannt ist, kann dies Brute-Force- oder Password-Spraying-Angriffe erleichtern, die letztlich zu unbefugtem Zugriff auf Benutzerkonten führen können.
Ja, wenn ein Benutzername bekannt ist, kann dies Brute-Force- oder Password-Spraying-Angriffe erleichtern, die letztlich zu unbefugtem Zugriff auf Benutzerkonten führen können. Durch diese Angriffe versuchen Cyberkriminelle, verschiedene Passwörter auszuprobieren, um sich Zugang zu den Konten zu verschaffen. Daher ist es wichtig, Maßnahmen zu ergreifen, um User-Enumeration zu verhindern und die Sicherheit Ihrer Website zu gewährleisten.

Website–TuneUp
Inhaltsicherheitsrichtlinie (CSP)
XSS-Absicherung
100% Geld-zurück-Garantie
Keine monatlichen Kosten
Wir schützen, was Ihnen wichtig ist.
Schlüsselfertige Ausführung:
Unsere Experten erledigen die Optimierung komplett für Sie.
Jetzt zum Vorzugspreis von nur 195,- €