如何防止黑客扫描出WordPress管理员用户名?如何修改已经暴露了的WordPress管理员用户名?
黑客是怎么知道管理员用户名的?
1. 默认情况下,访问 https://intoep.com/?author=1 这样的链接,会自动跳转到 https://intoep.com/author/你的用户名/,从而暴露了用户名为 admin(如果用户ID是1)或你的新用户名。很好理解,网站的第一个用户,肯定是站长了,也就是有最高权限的管理员。
2. WordPress REST API 是一个列出用户名的接口,访问https://intoep.com/wp-json/wp/v2/users,会返回所有用户信息。
3. WordPress 在文章作者处显示的可能默认是你的用户名。
如何防止黑客扫描出WordPress管理员用户名?
- 用 Nginx 拦截“/?author=”和“屏蔽 REST API 接口”
1. 编辑站点配置文件 app.conf
nano ./nginx/conf.d/app.conf2. 添加新的安全规则
在 HTTPS (443) 的 server { … } 内部,将这些安全规则放在一起,便于管理。可以放在 server_name 的下面。
server {
listen 443 ssl http2;
server_name intoep.com www.intoep.com;
# ... SSL 证书配置等 ...
# ================== 新增安全规则 开始 ==================
# 1. 防止通过 author 参数的用户枚举攻击
if ($args ~* "author=\d+") {
return 403;
}
# 2. 屏蔽 REST API 的用户列表接口
location = /wp-json/wp/v2/users {
return 403;
}
# 如果你想屏蔽更广范围的 user 相关接口
# location ~* ^/wp-json/wp/v2/users/ {
# return 403;
# }
# ================== 新增安全规则 结束 ==================
# ... 其他配置,如 root, index, if ($host = ...), location / 等 ...
}3. 保存文件并平滑重载 Nginx
docker compose exec nginx nginx -s reload修改用户昵称
WordPress 在文章作者处显示的可能默认是你的用户名。
1. 左侧菜单 -> 用户 -> 个人资料。
2. 找到“昵称(必填)”字段,输入一个你想公开展示的名字(比如 “站长”、“anjir” 或者任何笔名)。
3. 在下面的“公开显示为”下拉菜单中,务必选择你刚刚设置的那个昵称。
4. 点击“更新个人资料”。
这样,你网站前台所有显示作者的地方,都将是你的昵称,而不是你那保密的登录用户名。
如何修改已经暴露了的WordPress管理员用户名?
直接通过数据库修改用户名
1. 进入数据库容器
docker exec -it wordpress_db mysql -u root -p2. 使用 WordPress 数据库
USE wordpress;3. 查询管理员账号
SELECT ID, user_login FROM wp_users;4. 修改用户名为一个不容易猜的新名字,例如 super7cat_admin_xyz
UPDATE wp_users SET user_login = 'super7cat_admin_xyz' WHERE ID = 1;5. 退出
EXIT;转载作品,原作者:Y阳胜S君,文章来源:https://mp.weixin.qq.com/s/jCUqd4fs8TJF7pq72Ek8Cw
微信赞赏 
支付宝赞赏 
