前一阵子wordpress全球攻击事件在博客圈子里流传开来,很多使用wordpress搭建博客的博主都惶惶不可终日,生怕下一个被攻击的就是自己,其实大家不用为此担心那些被攻击的博客都是些不注意站点安全的博客而已,他们都使用了admin的默认用户名,所以导致博客网站被黑。最近发现就算不用admin的默认用户名也能爆出wordpress的管理员账户,而且在任何版本的wordpress站点上都有效。
通过
https://file.zyku.net/?author=1
这种形式的链接访问wordpress就会转跳到类似于
https://file.zyku.net/author/admin/
的这类链接其中的admin就是管理员账号了,得到帐号就可以用wordpress密码穷举器来进行密码爆破了。(PS:链接中的/?author=1其中的1是管理员id,默认情况下都是1的,如果不是1我们也可以用1-100之间的数字来试。)
那怎么来预防呢?wordpress官方文档里有一个定义在用户登录错误后提示信息的hook,我们可以用这个函数来修改登录错误信息了,这样就可以有效的防止密码穷举了。
function failed_login() { return '这是填写自定义的错误提示信息'; }add_filter('login_errors', 'failed_login');将函数填入当前主题的functions.php文件即可。
