內容簡介
停用餵入和隱藏使用者名稱
移除以下的 RSS 餵入,對於一個簡單的 CMS 站點並不是必要的。
* http://example.com/feed/
* http://example.com/feed/rss/
* http://example.com/feed/rss2/
* http://example.com/feed/rdf/
* http://example.com/feed/atom/
為什麼要隱藏 WordPress 使用者名稱
WordPress 使用者名稱很容易被猜測,如果被猜中,攻擊者在 WordPress 鉤取攻擊時會更容易。攻擊者可以使用工具如 WPScan 來猜測您的 WordPress 使用者名稱,或者只需輸入以下 URL:
http://www.example.com/?author=1
如果作者 ID 是有效的,則他們將被重新導向到作者 URL,例如:
http://www.example.com/author/admin
即使您更改 WordPress 使用者 ID,也仍有此可能性。例如,如果您將使用者 ID 更改為 1000,則請求 URL http://www.example.com/?author=1000 時,攻擊者仍然可以猜測使用者名稱。這意味著您只是延遲了猜測攻擊,而不是完全消除了它。
WordPress 使用者名稱也可以在 RSS 餵入的原始碼中找到。
停用餵入和隱藏使用者名稱
隱藏使用者名稱以使攻擊者更難猜測。
外掛標籤
開發者團隊
② 後台搜尋「Disable Feeds And Hide Usernames」→ 直接安裝(推薦)
原文外掛簡介
Disable Feeds And Hide Usernames
removes the rss feeds like below. For a simple CMS site it is not required.
* http://example.com/feed/
* http://example.com/feed/rss/
* http://example.com/feed/rss2/
* http://example.com/feed/rdf/
* http://example.com/feed/atom/
Why Hide WordPress Usernames
WordPress usernames can easily be guessed. If guessed it makes the attackers’ life easier especially in case of a targeted WordPress hack attack. Attackers can use a tool such as WPScan to guess your WordPress username or simply by entering a URL such as the following:
http://www.example.com/?author=1
If the author ID is valid then they will be redirected to the author URL, for example:
http://www.example.com/author/admin
The above is possible even when you change the WordPress user IDs. For example if you changed the user ID to 1000, then by requesting the URL http://www.example.com/?author=1000 the attacker can guess the username. This means that you would be delaying the guessing attack but not completely eliminating it.
WordPress usernames can also be found in the source of rss feeds.
Disable Feeds And Hide Usernames
hides the usernames to make it harder for the attacker.