前言介紹
- 這款 WordPress 外掛「WP Author Security」是 2020-08-12 上架。
- 目前有 500 個安裝啟用數。
- 上一次更新是 2023-04-12,距離現在已有 1051 天。超過一年沒更新,安裝要確認版本是否可用。以及後續維護問題!
- 外掛最低要求 WordPress 4.7 以上版本才可以安裝。
- 外掛要求網站主機運作至少需要 PHP 版本 7.4 以上。
- 有 2 人給過評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
mgmsp |
外掛標籤
author | wpscan | privacy | security | user enumeration |
內容簡介
WP Author Security是一款輕量但功能強大的外掛,可以保護作者頁面和其他可以獲取有效用戶名稱的地方,以防止用戶枚舉攻擊。
默認情況下,WordPress會在作者頁面上顯示一些敏感信息。
通常,可以通過請求URI https://yourdomain.tld/?author=<id>或固定連結https://yourdomain.tld/author/<username>來調用作者頁面。
該頁面將包括(取決於您的佈景主題)作者的全名(名和姓)以及用於登錄WordPress的用戶名。
在某些情況下,不希望向公眾公開這些信息。攻擊者能夠暴力破解有效的ID或有效的用戶名。這些信息可能會用於進一步的攻擊,例如社交工程攻擊或利用獲得的用戶名進行登錄暴力攻擊。
然而,當使用這個外掛並完全禁用作者頁面時,必須注意,您需要注意活動佈景主題不會像「由管理員發布」之類的帖子中直接顯示作者姓名。這是外掛(當下)無法處理的事情。
通過使用這個外掛,您可以完全禁用作者頁面,或者僅在作者至少有一篇發表的帖子時顯示它們。禁用該頁面時,將顯示活動佈景主題的默認404錯誤頁面。
此外,外掛還會保護其他攻擊者常用於獲取有效用戶名的位置。這些位置包括:
用戶的REST API,其中默認會列出所有有發布帖子的用戶。
https://yourdomain.tld/wp-json/wp/v2/users
登錄頁面,不同的錯誤消息將指示輸入的用戶名或電子郵件地址是否存在。該插件將獨立於用戶名是否存在而顯示中性的錯誤消息。
忘記密碼功能也會允許攻擊者檢查用戶是否存在。與登錄頁面一樣,該插件將顯示中性消息,即使該用戶不存在也是如此。
請求博客的feed終端點/ feed也將允許他人查看作者的用戶名或顯示名。該插件將從結果列表中刪除名稱。
WordPress支持所謂的oEmbeds,這是一種在另一篇帖子中嵌入對帖子的引用的技術。但是,該引用還包含作者姓名和指向個人資料頁面的直接鏈接。該插件也會刪除這裡的名稱和鏈接。
自WordPress 5.5以來,可以通過/wp-sitemap.xml到達默認網站地圖。此網站地圖將公開所有作者的用戶名。如果不希望公開這一點,可以禁用WordPress的此功能。
原文外掛簡介
WP Author Security is a lightweight but powerful plugin to protect against user enumeration attacks on author pages and other places where valid user names can be obtained.
By default, WordPress will display some sensitive information on author pages.
The author page is typically called by requesting the URI https://yourdomain.tld/?author=
The page will include (depending on your theme) the full name (first and last name) as well as the username of the author which is used to log in to WordPress.
In some cases, it is not wanted to expose this information to the public. An attacker is able to brute force valid IDs or valid usernames. This information might be used for further attacks like social engineering attacks or log in brute force attacks with gathered usernames.
However, when using the plugin and you disable author pages completely it must be noted that you need to take care that your active theme will not display the author name itself on posts like “Posted by admin” or something like that. This is something the plugin will not handle (at the moment).
By using the extension, you are able to disable the author pages either completely or display them only when the author has at least one published post. When the page is disabled the default 404 error page of the active theme is displayed.
In addition, the plugin will also protect other locations which are commonly used by attackers to gather valid user names. These are:
The REST API for users which will list all users with published posts by default.
https://yourdomain.tld/wp-json/wp/v2/users
The log in page where different error messages will indicate whether an entered user name or mail address exists or not. The plugin will display a neutral error message independently whether the user exists or not.
The password forgotten function will also allow an attacker to check for the existence of a user. As for the log in page the plugin will display a neutral message even when the user does not exists.
Requesting the feed endpoint /feed of your blog will also allow others to see the username or display name of the author. The plugin will remove the name from the result list.
WordPress supports so-called oEmbeds. This is a technique to embed a reference to a post into another post. However, this reference will also contain the author name and a direct link to the profile page. The plugin will also remove the name and link here.
Since WordPress 5.5 a default sitemap can be reached via /wp-sitemap.xml. This sitemap will disclose the usernames of all authors. If this should not be disclosed you are able to disable this feature of WordPress.
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「WP Author Security」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
1.2.1 | 1.3.0 | 1.4.0 | 1.4.1 | 1.5.0 | trunk |
延伸相關外掛(你可能也想知道)
Edit Author Slug 》這個外掛程式允許您完全控制使用者永久網址,讓您可以更改作者基底(作者 URL 中「/author/」部分)和作者別名(預設為作者使用者名稱)。您可以在全域設置作...。
WP Meta and Date Remover 》移除點擊文章的Meta、作者和日期。 安裝、啟用,完成!, 如何移除文章和頁面的作者Meta和日期?, , 安裝 WP Meta and Date remover。, 啟用外掛。, 選擇隱藏...。
Hide/Remove Metadata 》Hide/Remove Metadata是一款免費、簡單而非常實用的WordPress外掛,能夠幫助您輕鬆地隱藏或刪除網站上的作者和發布日期。該外掛非常容易使用,僅提供隱藏或移...。
WP Author, Date and Meta Remover 》即時自訂或刪除您的元數據!WP 作者、日期和元數據移除 Pro+現已上市。WP ADMR Pro+ for Intelligent Meta Data Control。, WordPress 已成為許多線上企業主...。
VK Post Author Display 》在內容底部顯示文章作者資訊框。, 任意區段 1。
Starbox – the Author Box for Humans 》is plugin., , With Starbox, you'll have a beautiful Author Box that will help your readers connect with the humans behind your content. Plus, you'l...。
Meks Smart Author Widget 》這個簡單的外掛程式讓你可以在 WordPress Widget 中顯示作者/使用者資訊。此外掛的聰明之處在於「自動偵測」使用者/作者,因此它可以選擇性地在單獨的文章頁...。
Disable Author Archives 》這是一個簡單輕量的 WordPress 外掛,可以完全停用作者存檔/頁面(無論相應的作者是否存在),並使網頁伺服器返回404狀態碼('未找到')。相關連結也將禁用或...。
WP htaccess Control 》WP htaccess Control(也可以稱為 WP htaccess 和 Rewrite Control)提供了一個界面來自定生成WordPress的htaccess文件以及其永久鏈接(作者、分類、歸檔、分...。
Fancier Author Box by ThematoSoup 》如果您正在尋找一種方法,讓每個頁面都成為新聯繫和潛在客戶的登陸頁面,那麼您一定會發現 ThematoSoup 的 Fancier Author Box 是非常寶貴的工具。, , 讓每篇...。
WP Custom Author URL 》這個外掛可以讓你選擇自定義的作者連結 URL,而不是 WordPress 預設的作者頁面。, 如果你想要連結到自己的 Twitter、LinkedIn 或其他社交媒體個人檔案,這個...。
Guest Author 》這款 WordPress 外掛讓你在任何一篇文章中新增客座作者,而不需要在你的網站上註冊客座作者為使用者。, 功能, , ✍️ 行為就像客座作者是普通作者一樣。, 👤 可...。
Authors List 》使用簡碼簡單地顯示文章作者清單或網格,並帶有到其文章彙整頁面的連結。, 簡碼為 [authors_list],並接受以下屬性。, , style(1、2、3), columns (2、3、4...。
Author Avatars List/Block 》這個外掛可以方便地在您的 (多使用者) 網站上顯示按用戶角色分組的使用者頭像列表。它還允許您將單個頭像插入到文章或頁面中,以顯示您正在談論的某個人的圖...。
WordPress Shortcodes 》代表說明:, , WordPress Shortcodes 是一款免費的 WordPress 外掛,為您的網站提供了許多美觀且實用的元素。該外掛包含完整的元素設定,全部都是免費的。, ...。