保护管理员帐户-用户名发现

时间:2012-09-25 作者:user20814

我们已经Limit Login Attempts 已经安装了几周了,在wp admin/wp登录上发生的暴力尝试次数非常惊人。起初,这些尝试都是用用户名“Admin”进行的,我们的网站上不存在这个用户名,所以我认为这很烦人,但不是什么威胁。然而,现在我们看到其他命名的管理员用户帐户发生了锁定,我完全无法理解攻击者是如何推断这些帐户的用户名的。

我们网站上没有任何内容是由任何人编写的,我在网站上找不到其他公开发布这些用户名的位置。

你知道如何发现用户名吗?

2 个回复
最合适的回答,由SO网友:fuxia 整理而成

如果您启用了永久链接,WordPress会将所有调用重定向到/?author=1 到具有用户名的作者存档,例如:/author/bob/. 然后访问者就会知道作者的名字。

使用Login Lockdown, 该插件不会重置帐户,它会阻止IP地址。

SO网友:user20814

聪明的混蛋。我想我只是将请求重定向到/?作者=。听起来合理吗?类似于:

add_action( \'template_redirect\', \'my_author_redirect\' );
function my_author_redirect() {
    if ( is_author() ) {
        wp_redirect( get_bloginfo( \'url\' ), 301 );
        exit;
    }       
}

结束
标签: admin   wp-admin   security   小码农  

相关推荐

在WP-Admin中预安装小部件

当用户激活admin widgets区域中的TwentyEleven主题时,用户已经在主侧栏中填充了一些标准小部件。有没有人能解释一下,或者给我指出一个正确的方向,告诉我如何在另一个主题上为我的小部件实现相同的行为?