前言介紹
- 這款 WordPress 外掛「WP Author Security」是 2020-08-12 上架。
- 目前有 500 個安裝啟用數。
- 上一次更新是 2023-04-12,距離現在已有 753 天。超過一年沒更新,安裝要確認版本是否可用。以及後續維護問題!
- 外掛最低要求 WordPress 4.7 以上版本才可以安裝。
- 外掛要求網站主機運作至少需要 PHP 版本 7.4 以上。
- 有 2 人給過評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
mgmsp |
外掛標籤
author | wpscan | privacy | security | user enumeration |
內容簡介
WP Author Security是一款輕量但功能強大的外掛,可以保護作者頁面和其他可以獲取有效用戶名稱的地方,以防止用戶枚舉攻擊。
默認情況下,WordPress會在作者頁面上顯示一些敏感信息。
通常,可以通過請求URI https://yourdomain.tld/?author=
該頁面將包括(取決於您的佈景主題)作者的全名(名和姓)以及用於登錄WordPress的用戶名。
在某些情況下,不希望向公眾公開這些信息。攻擊者能夠暴力破解有效的ID或有效的用戶名。這些信息可能會用於進一步的攻擊,例如社交工程攻擊或利用獲得的用戶名進行登錄暴力攻擊。
然而,當使用這個外掛並完全禁用作者頁面時,必須注意,您需要注意活動佈景主題不會像「由管理員發布」之類的帖子中直接顯示作者姓名。這是外掛(當下)無法處理的事情。
通過使用這個外掛,您可以完全禁用作者頁面,或者僅在作者至少有一篇發表的帖子時顯示它們。禁用該頁面時,將顯示活動佈景主題的默認404錯誤頁面。
此外,外掛還會保護其他攻擊者常用於獲取有效用戶名的位置。這些位置包括:
用戶的REST API,其中默認會列出所有有發布帖子的用戶。
https://yourdomain.tld/wp-json/wp/v2/users
登錄頁面,不同的錯誤消息將指示輸入的用戶名或電子郵件地址是否存在。該插件將獨立於用戶名是否存在而顯示中性的錯誤消息。
忘記密碼功能也會允許攻擊者檢查用戶是否存在。與登錄頁面一樣,該插件將顯示中性消息,即使該用戶不存在也是如此。
請求博客的feed終端點/ feed也將允許他人查看作者的用戶名或顯示名。該插件將從結果列表中刪除名稱。
WordPress支持所謂的oEmbeds,這是一種在另一篇帖子中嵌入對帖子的引用的技術。但是,該引用還包含作者姓名和指向個人資料頁面的直接鏈接。該插件也會刪除這裡的名稱和鏈接。
自WordPress 5.5以來,可以通過/wp-sitemap.xml到達默認網站地圖。此網站地圖將公開所有作者的用戶名。如果不希望公開這一點,可以禁用WordPress的此功能。
原文外掛簡介
WP Author Security is a lightweight but powerful plugin to protect against user enumeration attacks on author pages and other places where valid user names can be obtained.
By default, WordPress will display some sensitive information on author pages.
The author page is typically called by requesting the URI https://yourdomain.tld/?author=
The page will include (depending on your theme) the full name (first and last name) as well as the username of the author which is used to log in to WordPress.
In some cases, it is not wanted to expose this information to the public. An attacker is able to brute force valid IDs or valid usernames. This information might be used for further attacks like social engineering attacks or log in brute force attacks with gathered usernames.
However, when using the plugin and you disable author pages completely it must be noted that you need to take care that your active theme will not display the author name itself on posts like “Posted by admin” or something like that. This is something the plugin will not handle (at the moment).
By using the extension, you are able to disable the author pages either completely or display them only when the author has at least one published post. When the page is disabled the default 404 error page of the active theme is displayed.
In addition, the plugin will also protect other locations which are commonly used by attackers to gather valid user names. These are:
The REST API for users which will list all users with published posts by default.
https://yourdomain.tld/wp-json/wp/v2/users
The log in page where different error messages will indicate whether an entered user name or mail address exists or not. The plugin will display a neutral error message independently whether the user exists or not.
The password forgotten function will also allow an attacker to check for the existence of a user. As for the log in page the plugin will display a neutral message even when the user does not exists.
Requesting the feed endpoint /feed of your blog will also allow others to see the username or display name of the author. The plugin will remove the name from the result list.
WordPress supports so-called oEmbeds. This is a technique to embed a reference to a post into another post. However, this reference will also contain the author name and a direct link to the profile page. The plugin will also remove the name and link here.
Since WordPress 5.5 a default sitemap can be reached via /wp-sitemap.xml. This sitemap will disclose the usernames of all authors. If this should not be disclosed you are able to disable this feature of WordPress.
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「WP Author Security」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
1.2.1 | 1.3.0 | 1.4.0 | 1.4.1 | 1.5.0 | trunk |
延伸相關外掛(你可能也想知道)
Wordfence Security – Firewall, Malware Scan, and Login Security 》fective way to manage multiple WordPress sites with Wordfence installed from a single location., Monitor security status across all your sites from...。
Really Simple Security – Simple and Performant Security (formerly Really Simple SSL) 》le Plugins include Complianz GDPR, Disable Updates Manager, and Really Simple CAPTCHA., , Really Simple SSL是一個外掛,自動配置你的網站最大程度上使...。
Jetpack – WP Security, Backup, Speed, & Growth 》search engines, and grow your traffic with Jetpack. It’s the ultimate toolkit for WordPress professionals and beginners alike., , Customize and des...。
Hostinger Tools 》- Hostinger Onboarding WordPress Plugin 简化和加快了WordPress网站的设置过程。, - 提供了简便和快速的方式来建立WordPress网站。。
Limit Login Attempts Reloaded – Login Security, Brute Force Protection, Firewall 》Limit Login Attempts Reloaded 是一款WordPress外掛,可阻止暴力破解攻擊並透過限制常規登錄、XMLRPC、Woocommerce和自訂登錄頁面的登錄嘗試次數來優化您的...。
ManageWP Worker 》, Want to clone or migrate your WordPress website to a new host or domain? No problem! With ManageWP, you can easily clone or migrate your website ...。
Security Optimizer – The All-In-One Protection Plugin 》透過精心挑選且易於配置的功能,SiteGround Security 外掛提供了您所需的一切來保護您的網站並預防多種威脅,例如暴力破解攻擊、登錄錯誤、資料外洩等等。, ...。
Safe SVG 》Safe SVG 可以讓你安心地在 WordPress 中上傳 SVG 檔案!, 它能夠讓你允許上傳 SVG 檔案的同時,確保它們已經經過消毒以防止 SVG/XML 弱點影響你的網站。此外...。
Loginizer 》Loginizer 是一個 WordPress 外掛,可幫助您對抗暴力攻擊,當 IP 地址達到最大重試次數時,該外掛會阻止其登錄。您可以使用 Loginizer 將 IP 地址列入黑名單...。
All-In-One Security (AIOS) – Security and Firewall 》vated to your website, All-in-One Security's WAF will detect and block hacking attempts, adding an extra layer of security to your WordPress site. ...。
Solid Security – Password, Two Factor Authentication, and Brute Force Protection 》ing iThemes Security Plugin can benefit you:, 保護您的 WordPress 網站的最佳外掛程式, 平均每天有 30,000 個網站遭受駭客攻擊,在網路上每 39 秒就會有一...。
User Role Editor 》「User Role Editor」WordPress 外掛讓您輕鬆更改使用者角色和權限。, 只需打開您希望新增到所選角色的能力核取方塊,然後按「更新」按鈕以保存您的更改。完...。
Sucuri Security – Auditing, Malware Scanner and Security Hardening 》Sucuri Inc. 是全球公認的網站安全權威,專門為 WordPress 安全提供專業知識。, Sucuri Security WordPress 擴充套件對所有 WordPress 使用者免費提供。它是...。
MainWP Child – Securely Connects to the MainWP Dashboard to Manage Multiple Sites 》這是一個針對「MainWP Dashboard」的子外掛程式,可將您的 WordPress 網站連接至 MainWP Dashboard。, MainWP是一個完整的 WordPress 管理解決方案,是自助...。
SiteGuard WP Plugin 》版本: 1.6.7, , 您可以在日文網頁和英文網頁上找到文件、常見問題和更詳細的資訊。 , 安裝SiteGuard WP Plugin後,WordPress安全性會得到提高。, 本外掛是一...。