问题描述
我们已经安装了几个星期的 Limit Login Attempts,并且在 wp-admin /wp-login 上发生的暴力尝试次数非常惊人。起初,这些尝试都是使用我们网站上不存在的用户名”Admin,”,所以我认为这是一个烦恼,但没有太多的威胁。然而,现在我们看到其他命名的管理员用户帐户发生了锁定,我完全不了解攻击者如何推断这些帐户的用户名。
我们网站上没有任何内容由任何人特别撰写,我们的网站上找不到任何这些用户名被公开发布的位置。
关于用户名可能被发现的任何想法?
最佳解决方案
如果您有很多固定链接,WordPress 将使用用户名将所有调用重定向到/?author=1 到作者存档,例如:/author/bob/。然后访问者将知道作者姓名。
使用 Login Lockdown,该插件不会重置帐户,它会阻止 IP 地址。
参考文献
注:本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意,可以加入我们改善翻译效果:薇晓朵技术论坛。