避免暴露你的 WordPress 管理员登录用户名

2021-04-05 0 220 百度已收录

昨晚在研究评论结构时,网站右键查看源代码,无意间发现自己的管理员用户名被暴露了…

避免暴露你的 WordPress 管理员登录用户名

图 1 评论中暴露登录用户名

如上图,在博主的评论的 class 里看到的 test10 是我本地的测试网站的管理员的用户名!另附搭建本地测试环境方法

修复方法

方法 1:直接修改 WordPress 程序

① 然后,查了下代码,查到了这个函数comment_class(),进一步发现是被这个函数get_comment_class()(大约在 wp-includes\comment-template.php 的 419 行)暴露管理员的登录用户名… 该函数内容如下:

function get_comment_class( $class = '', $comment_id = null, $post_id = null ) {
	global $comment_alt, $comment_depth, $comment_thread_alt;

	$comment = get_comment($comment_id);

	$classes = array();

	// Get the comment type (comment, trackback),
	$classes[] = ( empty( $comment->comment_type ) ) ? 'comment' : $comment->comment_type;

	// Add classes for comment authors that are registered users.
	if ( $comment->user_id > 0 && $user = get_userdata( $comment->user_id ) ) {
		$classes[] = 'byuser';
		$classes[] = 'comment-author-' . sanitize_html_class( $user->user_nicename, $comment->user_id );
		// For comment authors who are the author of the post
		if ( $post = get_post($post_id) ) {
			if ( $comment->user_id === $post->post_author ) {
				$classes[] = 'bypostauthor';
			}
		}
	}

	if ( empty($comment_alt) )
		$comment_alt = 0;

我们的管理员用户名正是被其中的第 14 行暴露的… 在此,我们只需将这一行中的$user->user_nicename改为$user->user_id即可安全的隐藏管理员的登录名了~ 也隐藏了注册用户的登录用户名了!取而代之显示的是注册用户(包括管理员)的 ID。从此再也不用担心网页中会暴露诸位站长的登录用户名了~

② 11 月 02 日经过友链龙砚庭博主的提醒,发现用户页面也有博主登录用户名,如下图:

避免暴露你的 WordPress 管理员登录用户名

图 2 用户页面中也暴露登录用户名

然后查到了这个函数body_class(),进一步发现是被这个函数get_body_class()(大约在 wp-includes\post-template.php 的 634 行)暴露管理员的登录用户名… 该函数部分内容如下:

elseif ( is_author() ) {
    $author = $wp_query->get_queried_object();
    $classes[] = 'author';
    if ( isset( $author->user_nicename ) ) {
        $classes[] = 'author-' . sanitize_html_class( $author->user_nicename, $author->ID );
	$classes[] = 'author-' . $author->ID;
    }
}

其中该函数的第 5 行也暴露了博主的登录名,将这一行删掉或注释掉即可成功解决~

当然,利用好body_class()这个函数,也可以得到一些很好的效果

友情提示:此方法是直接修改的 wordpress 的源程序,所以每次更新 wordpress 程序都得进行这样的修改。希望高手能提供更好的方法!

方法 2:过滤掉 “Comment-Author-” 和 “Author-“

11 月 04 日经过张戈的提醒和龙砚庭博主文章的提示,得到了一个基本完美的解决方案:也就是将comment_class()函数里输出的 comment-author-test10 这个 class 去掉,也将body_class()函数里输出的 author-test10 这个类似的 class 去掉。因为这个是通过 functions.php 来解决的,所以不用担心 wordpress 程序升级的问题。方法是,将以下代码加入 functions.php 中,即可完事!

/**
 * 说明:直接去掉函数 comment_class() 和 body_class() 中输出的 "comment-author-" 和 "author-"
 */
function lxtx_remove_comment_body_author_class($content){	
    $pattern = "/(.*?)([^>]*)author-([^>]*)(.*?)/i";
    $replacement = '$1$4';
    $content = preg_replace($pattern, $replacement, $content);  
    return $content;
}
add_filter('comment_class', 'lxtx_remove_comment_body_author_class');
add_filter('body_class', 'lxtx_remove_comment_body_author_class');

comment_class()body_class()过滤的结果分别是:

// comment_class()过滤后的结果如下,去掉了原有 class 里的 comment-author-test10,请和上面的图 1 比较
class="comment byuser  bypostauthor odd alt thread-odd thread-alt depth-1"

// body_class()过滤后的结果如下,去掉了原有 class 里的 author-test10 和 author-1,请和上面的图 2 比较
class="archive author  logged-in"

20161122:才发现其实老外早在 2010 年就发现了这个漏洞…

/**
 * 说明:直接去掉函数 comment_class() 和 body_class() 中输出的 "comment-author-" 和 "author-"
 */
function lxtx_remove_comment_body_author_class( $classes ) {
	foreach( $classes as $key => $class ) {
		if(strstr($class, "comment-author-")||strstr($class, "author-")) {
			unset( $classes[$key] );
		}
	}
	return $classes;
}
add_filter( 'comment_class' , 'lxtx_remove_comment_body_author_class' );
add_filter('body_class', 'lxtx_remove_comment_body_author_class');

代码改自:《Small Security Hole in WordPress Comments》

PS:方法 2 的两段代码二选一哈~ 效果一样!

方法 3:改为输出用户 ID 或用户昵称

11 月 18 日发现inlojv的这个方法也不错,但在改为输出昵称的时候有点错误,对此,我已经优化好了,请放心使用:

/**
* 说明:comment_class() 和 body_class() 中输出的 nicename 改为 userid 或者 username
* 20170527:优化原 Injov 版的输出昵称方法
*/
function lxtx_change_comment_or_body_classes($classes, $comment_id){
global $wp_query;
$comment = get_comment( $comment_id );
$user = get_userdata( $comment->user_id );
$comment_author = 'comment-author-' . sanitize_html_class( $user->user_nicename, $comment->user_id );
$author = $wp_query->get_queried_object();
$archive_author = 'author-' . sanitize_html_class( $author->user_nicename, $author->ID );
$archive_author_id = 'author-' . $author->ID;
foreach( $classes as $key => $class ) {
switch( $class ) {
case $comment_author:
// $classes[$key] = 'comment-author-' . sanitize_html_class( $comment->comment_author, $comment->comment_author );
$classes[$key] = 'comment-author-' . sanitize_html_class( $comment->user_id );
break;
case $archive_author:
// $classes[$key] = 'author-' . sanitize_html_class( get_the_author_meta( 'display_name' ), get_the_author_meta( 'display_name' ) );
$classes[$key] = 'author-' . sanitize_html_class( $author->ID );
break;
case $archive_author_id:
$classes[$key] = '';
break;
}
}
    return $classes;
}
add_filter( 'comment_class', 'lxtx_change_comment_or_body_classes', 10, 4 );
add_filter( 'body_class', 'lxtx_change_comment_or_body_classes', 10, 4 );

注:注释的两行代码为替换成昵称,不了解可以不理会~~

我现在的策略是,非管理员显示的是用户的 ID,管理员的话,则显示的是……千万不要去查看哦~ 我现在采用的是方法 2,直接过滤掉了~

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!973664285@qq.com
2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有码币奖励和额外收入!

即刻码站__学习资源__国内最专业的站长资源下载平台 技术文档 避免暴露你的 WordPress 管理员登录用户名 https://www.jike1995.com/8321.html

不懂你就问我撒,但是不要说我给的东西不行。-www.jike1995.com

常见问题
  • 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用
查看详情
  • 最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度
查看详情

相关文章

官方客服团队

为您解决烦忧 - 24小时在线 专业服务