最新消息:欢迎来到大叔的窝

攻击者是这样拿到你的WordPress 【管理员用户名】的!!

教程 Allen314 3143浏览 0评论

打开 http://你的域名/wp-json/wp/v2/users/

约90% 的站点都可以看到管理员用户名,虽然作用不大。但是敏感信息的爆漏还是不太爽。

如果你想禁掉,那么在当前主题目录的functions.php文件里添加以下代码:

// 在账号未登录时禁用wp-json/wp/v2/,防止泄露信息
add_filter( 'rest_authentication_errors', function( $result ) {
    if ( ! empty( $result ) ) {
        return $result;
    }
    if ( ! is_user_logged_in() ) {
        return new WP_Error( 'Access denied', 'You have no permission to handle it.', array( 'status' => 401 ) );
    }
    return $result;
});

如果你懒得改代码,那么就和我一样,设置一个随机16位密码,自己都记不住,黑客还想破解 ?

转载请注明:野草堂 » 攻击者是这样拿到你的WordPress 【管理员用户名】的!!

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址