Qu’est-ce qu’une attaque par énumération d’utilisateurs ?
Les attaques par énumération d’utilisateurs sont des techniques ayant pour objectif de trouver des identifiants de connexion valides tels que des noms d’utilisateur. Bien que ce ne soit pas directement une vulnérabilité, des noms d’utilisateur standard ou faciles à détecter automatiquement facilitent la tâche aux attaquants pour lancer des attaques d’authentification par force brute.
Par défaut, WordPress est vulnérable aux tentatives d’énumération d’utilisateurs. Associée à de mauvaises pratiques de mot de passe, l’énumération des utilisateurs rend beaucoup plus probable le succès d’une attaque d’authentification par force brute.
Quelles sont les mesures de sécurité à mettre en œuvre pour rendre l’énumération des utilisateurs beaucoup plus difficile :
Empêcher l’utilisation du nom d’utilisateur ‘admin’
Il est nécessaire de ne pas utiliser ‘admin’ en tant que nom d’utilisateur. Par défaut, WordPress créé un utilisateur ‘admin’ à l’installation. Vous pouvez le modifier après installation et empêcher par la suite la création d’un nouvel utilisateur portant le nom ‘admin’.
Empêcher le réglage du nom d’affichage public égal au nom d’utilisateur
Il est conseiller d’empêcher la création d’utilisateurs avec un nom d’utilisateur égal au nom d’affichage. Parce que les noms d’affichage sont facilement trouvés sur votre site Web, avoir des utilisateurs avec un nom d’utilisateur correspondant augmente le risque d’une attaque d’énumération d’utilisateurs.
Empêcher les commentaires de connexion
Par défaut, WordPress affiche des commentaires si un nom d’utilisateur inexistant est saisi (Erreur : l’identifiant admin n’est pas inscrit sur ce site. Si vous doutez de votre identifiant, essayez plutôt votre adresse e-mail.) ou si le nom d’utilisateur existe mais que le mot de passe ne correspond pas (Erreur : ce mot de passe ne correspond pas à l’identifiant admin. Mot de passe oublié ?) Ces commentaires facilitent grandement la confirmation des noms d’utilisateur et la devinette des mots de passe. Vous pouvez désactiver ces commentaires textuels. Cependant, soyez conscient que même si les avis de « mauvais mot de passe » sont désactivés, les pirates pourraient être en mesure de déterminer si un nom d’utilisateur donné existe pour le site WordPress, en fonction du temps de réponse nécessaire au site pour vérifier le mot de passe d’un utilisateur existant, comparé à un utilisateur qui n’existe pas.
Pages d’auteurs
WordPress créé des pages d’auteurs pour chaque utilisateur. L’URL de cette page contient le nom d’utilisateur. Utiliser cela nécessitera d’essayer aléatoirement des URL avec des noms d’utilisateur, mais cela entraînera de nombreuses erreurs 404 qui peuvent être détectées et bloquées. Une façon très simple d’énumérer les auteurs est d’utiliser les pages d’ID d’auteur. (votresite.com)/?author=(ID). Cela redirige le visiteur vers le nom d’auteur correspondant. Pour se protéger, il suffit de désactiver les pages d’auteurs dans WordPress.