在用户迭代被抑制时迭代用户

时间:2019-05-03 作者:Nym

最近,我注意到各种登录尝试被安全插件阻止。当尝试涉及不存在的用户或默认/常见用户名(如网站名或经典用户名)时,这是非常常见的admin

从上周开始,登录尝试(在定义的失败登录后被阻止)都是真实用户,奇怪的是,在某些情况下,用户没有以作者身份出现在文章/页面中。还要考虑到用户迭代被抑制,访问?author=1 只给出404页,没有结果。

看来他们找到了一种不同的方法来迭代用户,你知道有什么可能的漏洞可以利用,以及如何保护网站吗?

1 个回复
SO网友:Alexander Holsgrove

您可以使用REST API列出users:

/wp-json/wp/v2/users

将其添加到网站URL的末尾。

插件,如Wordfence 可以阻止匿名用户访问此。

您还可以disable the REST API 如果你不使用它。

标签: users   htaccess   security   小码农  

相关推荐

Filter Tags for current users

我有一个自定义的post类型调用问题,它有自定义的分类法,称为问题标签。这些问号进一步用于创建动态测验。我想限制用户只使用他们创建的问号。他们无法访问其他人创建的标签。怎么可能呢?让我知道如何让每个用户的标签都是私有的,这样他们就不能在前端表单中使用彼此创建的标签了