WordPress的管理员用户名是如何泄露的,以及如何防护~

WordPress 的管理员账户很容易就能获取,虽然说拿到了管理员账号,用处不是很大,但是不排除有些小白的密码简单的数字密码。被攻击者爆破或者撞库成功,从而获得后台的管理员账户。

那么。攻击者是怎样拿到你的Wordpress 【管理员用户名】的,以及如何保护自己的管理员账户不被获取,这篇文章就来谈谈!!!

获取

1、先说说管理员账户如何泄露

攻击者或者攻击程序构造了:https://你的域名/wp-json/wp/v2/users/  的URL进行GET,这样99%会返回一串信息,里面包含了你的管理员账户。如下:

[{"id":1,"name":"u964cu6d9b","url":"https://www.jike1995.com","description":"u8fd9u4e2au535au4e3bu5f88u61d2uff0cu61d2u6b7bu4e86u3002","link":"https://www.imotao.com/author/imotao","slug":"imotao","avatar_urls":{"24":"https://secure.gravatar.com/avatar/da2867019057f50c669f3db99c7edf91?s=24","48":"https://secure.gravatar.com/avatar/da2867019057f50c669f3db99c7edf91?s=48","96":"https://secure.gravatar.com/avatar/da2867019057f50c669f3db99c7edf91?s=96"},"meta":[],"_links":{"self":[{"href":"https://www.imotao.com/wp-json/wp/v2/users/1"}],"collection":[{"href":"https://www.imotao.com/wp-json/wp/v2/users"}]}}]

 

以上信息可以发现:imotao就是管理员账号,真实已被隐藏,这里只为了演示。

2、确认是否使用了wordpress程序

其实上面的代码差不多已经确认你用的是wp程序了,这里还是提及一下:

攻击者或者攻击程序通过构造 https://你的域名//wp-includes/wlwmanifest.xml  的URL进行GET,来判断你是否使用了Wordpress程序。以及你的后台登录地址输入后你会得到这样的反馈。所以修改后台登录地址很重要。

<manifest xmlns="http://schemas.microsoft.com/wlw/manifest/weblog">
<options>
<clientType>WordPress</clientType>
<supportsKeywords>Yes</supportsKeywords>
<supportsGetTags>Yes</supportsGetTags>
</options>
<weblog>
<serviceName>WordPress</serviceName>
<imageUrl>images/wlw/wp-icon.png</imageUrl>
<watermarkImageUrl>images/wlw/wp-watermark.png</watermarkImageUrl>
<homepageLinkText>View site</homepageLinkText>
<adminLinkText>Dashboard</adminLinkText>
<adminUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/ ]]>
</adminUrl>
<postEditingUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/post.php?action=edit&post={post-id} ]]>
</postEditingUrl>
</weblog>
<buttons>
<button>
<id>0</id>
<text>Manage Comments</text>
<imageUrl>images/wlw/wp-comments.png</imageUrl>
<clickUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/edit-comments.php ]]>
</clickUrl>
</button>
</buttons>
</manifest>

3、确认你的用户id

攻击者还会通过构造 < https://你的域名?author=1 //?author=2 //?author=3>  来确认你的管理员id,以此来和上面的匹配。

保护

既然知道了,那么如何防护呢,继续往下看吧。

4、设置访问权限

1)禁止访问/wp-json/wp/v2/users/,如果是宝塔的话,可以在网站配置或者伪静态中设置如下代码。

  location ~ ^/wp-json/wp/v2/users {
      deny all;
    }

2)禁止访问 /wp-includes/wlwmanifest.xml   和上面一样。代码如下:

      location ~ ^/wp-includes/wlwmanifest.xml {
      deny all;
    }

3)如何放置截图

WordPress的管理员用户名是如何泄露的,以及如何防护~

4)效果

这时候访问上述网页,就会被屏蔽结果。如图:

WordPress的管理员用户名是如何泄露的,以及如何防护~

5、如果你是宝塔而且安装了专业版防火墙,还可以这样设置

在禁止访问的url中添加以下规则

/wp-json/wp/v2/users
/wp-includes/wlwmanifest.xml

WordPress的管理员用户名是如何泄露的,以及如何防护~

 

6、最后

这其实不是个漏洞,所以不用紧张,其实稍微注意点安全的小伙伴早就修改了一个非常强壮的密码,隐藏了登录后台,禁用了xmlrpc.php。

1)如果要禁用xmlrpc.php,可以利用nginx,代码如下,放置还是和上面一样,放在伪静态设置中。

location ^~ /xmlrpc.php { return 403; }

是否禁用根据自己需要吧,如果出现升级错误,那么可以删除掉或者禁用掉代码即可

2)其实有一些主题的管理员账号是显示在文章里面的,感觉这样真的是……,我们可以在wp后台设置一个昵称,这样文章会显示昵称在文章中。

3)各位小伙伴可以通过以上URL测试一下自己的Wordpress站点。看看是不是可以拿到敏感信息。如果特别敏感,就赶紧设置权限。

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

【声明:根据2013年1月30日《计算机软件保护条例》2次修订第17条规定: 为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存 储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬! 鉴于此,也希望大家按此说明研究软件!】
本站所有源码尽量保证原汁原味,如有特殊情况会作出声明及标注,网站资源不做任何二次加密(原版加密除外,不影响程序使用的不会做解密处理),方便您更好的学习参考。 在您的能力范围内,为了大环境的良性发展,请尽可能的选择正版资源。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

即刻码站__国内靠谱的站长资源下载平台 WordPress教程 WordPress的管理员用户名是如何泄露的,以及如何防护~ https://www.jike1995.com/11039.html

不懂你就问我撒,但是不要说我给的东西不行。-www.jike1995.com

常见问题
  • 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用
查看详情
  • 最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度
查看详情

相关文章

官方客服团队

为您解决烦忧 - 24小时在线 专业服务