这里有一种枚举用户名的简单方法（使用标准WP安装）：只需使用如下URL：https://www.example.com/?user=1 . (Added 注意：您可能需要使用实际的页面/帖子URL，如https://www.example.com/a-real-page?user=1 .) 您将获得有关该用户帐户的信息（第一个用户帐户，将是管理员级别的用户），然后您可以开始强制访问。（在WP安装中，创建的第一个用户是管理员级别的用户。因此，上面的URL可能会为您提供管理员的用户名。

如果使用xmlrpc。prg允许对同一个请求执行多个请求，您可以更快地执行。

以下是防止用户枚举的方法：

function redirect_to_home_if_author_parameter() {
      $is_author_set = get_query_var( \'author\', \'\' );
      if ( $is_author_set != \'\' && !is_admin()) {
            wp_redirect( home_url(), 301 );
            exit;
      }
}
add_action( \'template_redirect\', \'redirect_to_home_if_author_parameter\' );

这将重定向任何用户枚举请求（我提到的URL），除非您已经以管理员身份登录。

另外，另一个预防措施是禁用xmlrpc。prg公司。并且不要让一个名为“admin”的用户（如果有，请将其更改为非admin级别）。

禁用xmlrpc。prg（有很多机会入侵您的网站）有以下几点：

add_filter(\'xmlrpc_enabled\', \'__return_false\');

在函数中放置两个代码片段。php（最好在您的子主题中）。或者你可以用上面的代码创建一个简单的插件。

有关我的博客中的用户枚举问题的详细信息here.