WordPress 后台用户枚举风险



wordpress程序   例如网站是https://www.abc.com,后缀加上/wp-json/wp/v2/users/

访问https://www.abc.com/wp-json/wp/v2/users/可以得到
“name”:”admin” 的字样 会泄露后台管理用户名称。

可以在主题function文件中加入如下代码,屏蔽非授权的访问。

functions.php
add_filter( ‘rest_authentication_errors’, function( $result ) {
if ( !empty( $result ) ) {
return $result;

}

if ( !is_user_logged_in() ) {
return new WP_Error( ‘Access denied’, ‘You have no permission to handle it.’, array( ‘status’ => 401 ) );

}

return $result;

});

 

加入成功后 会把非授权访问提示为: