(WordPress教程)管理员用户名的泄露原因 - 汇站网

(WordPress教程)管理员用户名的泄露原因

2023-09-11 0 775

正文:

本文将介绍 WordPress 管理员用户名泄露的原因以及如何保护自己的管理员账户。主要内容包括使用实例、应用技巧、基本知识点总结和注意事项。对于需要的读者来说,具有一定的参考价值。
(WordPress教程)管理员用户名的泄露原因
获取 WordPress 管理员账户并不困难,尽管管理员账号的用途有限,但也不能排除一些用户使用简单的数字密码。攻击者可以通过暴力破解或撞库成功来获取后台管理员账户。

那么,攻击者是如何获取你的 WordPress 管理员用户名的呢?以及如何保护自己的管理员账户不被获取?本文将详细讨论这些问题!

1、先说说管理员账户如何泄露

攻击者或攻击程序可以通过构造 URL(https://你的域名/wp-json/wp/v2/users/)进行 GET 请求,从而获取到包含管理员账户信息的返回结果。例如,上述信息显示 imotao 是管理员账号,实际上已被隐藏,这里仅作演示之用。
如下:

[{"id":1,"name":"u964cu6d9b","url":"https://www.imotao.com","description":"u8fd9u4e2au535au4e3bu5f88u61d2uff0cu61d2u6b7bu4e86u3002","link":"https://www.imotao.com/author/imotao","slug":"imotao","avatar_urls":{"24":"https://secure.gravatar.com/avatar/da2867019057f50c669f3db99c7edf91?s=24","48":"https://secure.gravatar.com/avatar/da2867019057f50c669f3db99c7edf91?s=48","96":"https://secure.gravatar.com/avatar/da2867019057f50c669f3db99c7edf91?s=96"},"meta":[],"_links":{"self":[{"href":"https://www.imotao.com/wp-json/wp/v2/users/1"}],"collection":[{"href":"https://www.imotao.com/wp-json/wp/v2/users"}]}}]

2、确认是否使用了wordpress 程序
另外,攻击者或攻击程序还可以通过构造 URL(https://你的域名//wp-includes/wlwmanifest.xml)进行 GET 请求,以确认你是否使用 WordPress 程序,并获取你的后台登录地址。因此,修改后台登录地址非常重要。

<manifest xmlns="http://schemas.microsoft.com/wlw/manifest/weblog">
<options>
<clientType>WordPress</clientType>
<supportsKeywords>Yes</supportsKeywords>
<supportsGetTags>Yes</supportsGetTags>
</options>
<weblog>
<serviceName>WordPress</serviceName>
<imageUrl>images/wlw/wp-icon.png</imageUrl>
<watermarkImageUrl>images/wlw/wp-watermark.png</watermarkImageUrl>
<homepageLinkText>View site</homepageLinkText>
<adminLinkText>Dashboard</adminLinkText>
<adminUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/ ]]>
</adminUrl>
<postEditingUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/post.php?action=edit&post={post-id} ]]>
</postEditingUrl>
</weblog>
<buttons>
<button>
<id>0</id>
<text>Manage Comments</text>
<imageUrl>images/wlw/wp-comments.png</imageUrl>
<clickUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/edit-comments.php ]]>
</clickUrl>
</button>
</buttons>
</manifest>

 

3、确认你的用户 id

攻击者还会通过构造 < https://你的域名?author=1 //?author=2 //?author=3> 来确认你的管理员 id,以此来和上面的匹配。

为了保护自己,我们需要采取一些措施。接下来,我们将介绍一些防护方法。

4、设置访问权限

禁止访问/wp-json/wp/v2/users/,如果是宝塔的话,可以在网站配置或者伪静态中设置如下代码。

  location ~ ^/wp-json/wp/v2/users {
      deny all;
    }  

禁止访问 /wp-includes/wlwmanifest.xml 和上面一样。代码如下:

        location ~ ^/wp-includes/wlwmanifest.xml {
      deny all;
    } 

这时候访问上述网页,就会被屏蔽结果。

5、如果你是宝塔而且安装了专业版防火墙,还可以这样设置

在禁止访问的 url 中添加以下规则:

 /wp-json/wp/v2/users
/wp-includes/wlwmanifest.xml  

 

结语:

这其实不是个漏洞,所以不用紧张,其实稍微注意点安全的小伙伴早就修改了一个非常强壮的密码,隐藏了登录后台,禁用了 xmlrpc.php。
如果要禁用 xmlrpc.php,可以利用 nginx,代码如下,放置还是和上面一样,放在伪静态设置中。

 location ^~ /xmlrpc.php { return 403; }  

是否禁用根据个人需求决定,如果出现升级错误,可以删除或禁用相关代码。

实际上,有些主题的管理员账号会显示在文章中,这样做真的不太好……我们可以在 WordPress 后台设置一个昵称,这样文章中会显示昵称。

大家可以通过上述 URL 测试一下自己的 WordPress 站点,看看是否能够获取到敏感信息。如果信息特别敏感,就要立即设置权限。

转载请注明:汇站网 » (WordPress 教程)管理员用户名的泄露原因

收藏 (0)

微信扫一扫

支付宝扫一扫

点赞 (0)

感谢您的来访,获取更多精彩资源请收藏本站。

本站声明

本资源仅用于个人学习和研究使用,禁止用于任何商业环境!

 1.  本网站名称:汇站网
 2.  本站永久网址:https://www.huizhanii.com/
 3.  本站所有资源来源于网友投稿和高价购买,所有资源仅对编程人员及源代码爱好者开放下载做参考和研究及学习,本站不提供任何技术服务!
 4.  未经原版权作者许可,禁止用于任何商业环境,任何人不得擅作它用,下载者不得用于违反国家法律,否则发生的一切法律后果自行承担!
 5.  为尊重作者版权,请在下载24小时内删除!请购买原版授权作品,支持你喜欢的作者,谢谢!
 6.  若资源侵犯了您的合法权益, 请持您的版权证书和相关原作品信息来信通知我们请来信     通知我们我们会及时删除,给您带来的不便,我们深表歉意!
 7.  如下载链接失效、广告或者压缩包问题请联系站长处理!
 8.  如果你也有好源码或者教程,可以发布到网站,分享有金币奖励和额外收入!
 9.  本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
 10.  因源码具有可复制性,一经赞助 ,不得以任何形式退款。
 11.  更多详情请点击查看

汇站网 WordPress教程 (WordPress教程)管理员用户名的泄露原因 https://www.huizhanii.com/33133.html

汇站

站长资源下载中心-找源码上汇站

常见问题
  • 如果付款后没有弹出下载页面,多刷新几下,有问题联系客服!
查看详情
  • 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。
查看详情

相关文章

发表评论
暂无评论
  随机评论 表情开关按钮图片
表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情表情
登录后评论
联系官方客服

为您解决烦忧 - 24小时在线 专业服务

(汇站网)一个专注站长资源的平台网站,提供最新的网站模板和整站源码,内容包含各类精品网页模板,企业网站模板,网站模板,DIV+CSS模板,织梦模板,帝国cms模板,discuz模板,wordpress模板,个人博客论坛模板,上千种免费网页模板下载尽在汇站网.找源码上汇站.huizhanii.com

终身SVIP限时特惠


为回馈新老会员对本站的支持与厚爱

推出原价598元 现在仅需99元 有效期为永久

可享有免费下载本站98%VIP资源

即时活动 即时优惠 错过就再等一年

汇站网(huizhanii.com)

2024年即日


点我关闭