我们已经安装了Limit Login Attempts,已经有几个星期了,在wp-admin / wp-login上发生的蛮力尝试次数非常惊人。最初,所有尝试都使用用户名“ Admin”,该用户名在我们的网站上不存在,因此我认为这很烦人,但威胁不大。但是,现在我们看到其他命名的管理员用户帐户发生了锁定,而我完全不了解攻击者如何推断这些帐户的用户名。
我们网站上的任何内容均未特别授权,并且在我们网站上找不到这些用户名公开发布的任何其他位置。
关于如何发现用户名的任何想法吗?
我们已经安装了Limit Login Attempts,已经有几个星期了,在wp-admin / wp-login上发生的蛮力尝试次数非常惊人。最初,所有尝试都使用用户名“ Admin”,该用户名在我们的网站上不存在,因此我认为这很烦人,但威胁不大。但是,现在我们看到其他命名的管理员用户帐户发生了锁定,而我完全不了解攻击者如何推断这些帐户的用户名。
我们网站上的任何内容均未特别授权,并且在我们网站上找不到这些用户名公开发布的任何其他位置。
关于如何发现用户名的任何想法吗?
Answers:
如果您启用了永久链接,则WordPress将/?author=1使用用户名将所有调用重定向到作者档案,例如:/author/bob/。然后访问者将知道作者姓名。
使用Login Lockdown,该插件不会重置帐户,它将阻止IP地址。
聪明的虫子。我想我只是将请求重定向到/?author =。听起来合理吗?就像是:
add_action( 'template_redirect', 'my_author_redirect' );
function my_author_redirect() {
if ( is_author() ) {
wp_redirect( get_bloginfo( 'url' ), 301 );
exit;
}
}