WordPress 后台用户枚举风险
本文关键字: wordpress, 后台用户, 枚举, 漏洞wordpress程序 例如网站是https://www.abc.com,后缀加上/wp-json/wp/v2/users/
访问https://www.abc.com/wp-json/wp/v2/users/可以得到
“name”:”admin” 的字样 会泄露后台管理用户名称。
可以在主题function文件中加入如下代码,屏蔽非授权的访问。
functions.php
add_filter( ‘rest_authentication_errors’, function( $result ) {
if ( !empty( $result ) ) {
return $result;}
if ( !is_user_logged_in() ) {
return new WP_Error( ‘Access denied’, ‘You have no permission to handle it.’, array( ‘status’ => 401 ) );}
return $result;
});
加入成功后 会把非授权访问提示为:
1470938791
info
vanfon.net