Blokir WordPress User Enumeration dengan Nginx

Tuesday, June 20, 2017

Blokir WordPress User Enumeration dengan Nginx - Memblokir enumerasi username merupakan upaya untuk mencegah terjadinya peretasan di blog atau cms WordPress. Karena jika attacker berhasil mendapatkan daftar username di WordPress, kesempatan mereka untuk melakukan bruteforce semakin terbuka karena sudah mendapatkan daftar username pasti. Nah di kesempatan kali ini saya akan share cara block user enumeration dengan rule nginx, jadi bukan dengan plugins.

Oke langsung saja ke tutorial. Disini kita edit saja serverblock situs yang menggunakan wordpress.
Nah , tambahkan kode berikut di block server.
if ($args ~ "^/?author=([0-9]*)"){
        set $rule_0 1$rule_0;
}

if ($rule_0 = "1"){
        rewrite ^/$ http://linuxsec.org/404 permanent;
}
Lengkapnya seperti ini :
location / {
try_files $uri $uri/ /index.php?$args;
}

if ($args ~ "^/?author=([0-9]*)"){
        set $rule_0 1$rule_0;
}

if ($rule_0 = "1"){
        rewrite ^/$ http://linuxsec.org/404 permanent;
}

......
Restart nginx, lalu coba lakukan scan username. Pasti di blokir. Oke sekian tutorial singkat kali ini, semoga bermanfaat.

Artikel Terkait Nginx ,Security ,WordPress

1 comment: