打开 http://你的域名/wp-json/wp/v2/users/
约90% 的站点都可以看到管理员用户名,虽然作用不大。但是敏感信息的爆漏还是不太爽。
如果你想禁掉,那么在当前主题目录的functions.php文件里添加以下代码:
// 在账号未登录时禁用wp-json/wp/v2/,防止泄露信息
add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'Access denied', 'You have no permission to handle it.', array( 'status' => 401 ) );
}
return $result;
});如果你懒得改代码,那么就和我一样,设置一个随机16位密码,自己都记不住,黑客还想破解 ?
转载请注明:野草堂 » 攻击者是这样拿到你的WordPress 【管理员用户名】的!!