前一阵子 WordPress
球攻击事件在博客圈子里流传开来,很多使用 WordPress 搭建博客的博主都惶惶不可终日,生怕下一个被攻击的就是自己,其实大家不用为此担心那些被攻
击的博客都是些不注意站点安全的博客而已,他们都使用了 admin 的默认用户名,所以导致博客网站被黑。最近小编在无意中发现就算不用 admin 的默认用
户名也能爆出 WordPress 的管理员账户,而且在任何版本的 WordPress 站点上都有效。

通过

https://www.weixiaoduo.com/ ?author=1

这种形式的链接访问 WordPress 就会转跳到类似于

https://www.weixiaoduo.com/ author/admin/

的这类链接其中的 admin 就是管理员账号了,得到帐号就可以用 WordPress 密码穷举器来进行密码爆破了。 (PS:链接中的/?author=1 其中的 1 是管理员 id,默认情况下都是 1 的,如果不是 1 我们也可以用 1-100 之间的数字来试。)

那怎么来预防呢?WordPress 官方文档里有一个定义在用户登录错误后提示信息的 hook,我们可以用这个函数来修改登录错误信息了,这样就可以有效的防止密码穷举了。

function failed_login() {    return '这是填写自定义的错误提示信息';   }add_filter('login_errors', 'failed_login');

将函数填入当前主题的 functions.php 文件即可。