WordPress的管理员用户名是如何泄露的,以及如何防护~

2021年1月13日21:33:37262,461 2721字阅读9分4秒

WordPress 的管理员账户很容易就能获取,虽然说拿到了管理员账号,用处不是很大,但是不排除有些小白的密码是简单的数字密码。被攻击者爆破或者撞库成功,从而获得后台的管理员账户。

那么。攻击者是怎样拿到你的Wordpress 【管理员用户名】的,以及如何保护自己的管理员账户不被获取,这篇文章就来谈谈!!!

WordPress的管理员用户名是如何泄露的,以及如何防护~

获取

1、先说说管理员账户如何泄露

攻击者或者攻击程序构造了:https://你的域名/wp-json/wp/v2/users/  的URL进行GET,这样99%会返回一串信息,里面包含了你的管理员账户。如下:

[{"id":1,"name":"daniao","url":"","description":"","link":"https:\/\/daniao.com\/author\/daniao","slug":"daniao","avatar_urls":{"24":"https:\/\/cn.gravatar.com\/avatar\/28f745cefb1ad2da1747cdcfccc0ddfa?s=24&d=mm&r=g","48":"https:\/\/cn.gravatar.com\/avatar\/28f745cefb1ad2da1747cdcfccc0ddfa?s=48&d=mm&r=g","96":"https:\/\/cn.gravatar.com\/avatar\/28f745cefb1ad2da1747cdcfccc0ddfa?s=96&d=mm&r=g"},"meta":[],"_links":{"self":[{"href":"https:\/\/daniao.com\/wp-json\/wp\/v2\/users\/1"}],"collection":[{"href":"https:\/\/daniao.com\/wp-json\/wp\/v2\/users"}]}}]

以上信息可以发现:daniao就是管理员账号,真实已被隐藏,这里只为了演示。

2、确认是否使用了wordpress程序

其实上面的代码差不多已经确认你用的是wp程序了,这里还是提及一下:

攻击者或者攻击程序通过构造 https://你的域名//wp-includes/wlwmanifest.xml  的URL进行GET,来判断你是否使用了Wordpress程序。以及你的后台登录地址!输入后你会得到这样的反馈。所以修改后台登录地址很重要。

<manifest xmlns="http://schemas.microsoft.com/wlw/manifest/weblog">
<options>
<clientType>WordPress</clientType>
<supportsKeywords>Yes</supportsKeywords>
<supportsGetTags>Yes</supportsGetTags>
</options>
<weblog>
<serviceName>WordPress</serviceName>
<imageUrl>images/wlw/wp-icon.png</imageUrl>
<watermarkImageUrl>images/wlw/wp-watermark.png</watermarkImageUrl>
<homepageLinkText>View site</homepageLinkText>
<adminLinkText>Dashboard</adminLinkText>
<adminUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/ ]]>
</adminUrl>
<postEditingUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/post.php?action=edit&post={post-id} ]]>
</postEditingUrl>
</weblog>
<buttons>
<button>
<id>0</id>
<text>Manage Comments</text>
<imageUrl>images/wlw/wp-comments.png</imageUrl>
<clickUrl>
<![CDATA[ {blog-postapi-url}/../wp-admin/edit-comments.php ]]>
</clickUrl>
</button>
</buttons>
</manifest>

3、确认你的用户id

攻击者还会通过构造 < https://你的域名?author=1 //?author=2 //?author=3>  来确认你的管理员id,以此来和上面的匹配。

保护

既然知道了,那么如何防护呢,继续往下看吧。

4、设置访问权限

1)禁止访问/wp-json/wp/v2/users/,如果是宝塔的话,可以在网站配置或者伪静态中设置如下代码。

此处为隐藏的内容!
发表评论并刷新,方可查看

4)效果

这时候访问上述网页,就会被屏蔽结果。如图:

WordPress的管理员用户名是如何泄露的,以及如何防护~

 

WordPress的管理员用户名是如何泄露的,以及如何防护~

5、如果你是宝塔而且安装了专业版防火墙,还可以这样设置

在禁止访问的url中添加以下规则:

/wp-json/wp/v2/users
/wp-includes/wlwmanifest.xml

WordPress的管理员用户名是如何泄露的,以及如何防护~

此时访问,会出现防火墙拦截的提示。

WordPress的管理员用户名是如何泄露的,以及如何防护~

6、最后

这其实不是个漏洞,所以不用紧张,其实稍微注意点安全的小伙伴早就修改了一个非常强壮的密码,隐藏了登录后台,禁用了xmlrpc.php。

1)如果要禁用xmlrpc.php,可以利用nginx,代码如下,放置还是和上面一样,放在伪静态设置中。

location ^~ /xmlrpc.php { return 403; }

是否禁用根据自己需要吧,如果出现升级错误,那么可以删除掉或者禁用掉代码即可。

2)其实有一些主题的管理员账号是显示在文章里面的,感觉这样真的是……,我们可以在wp后台设置一个昵称,这样文章会显示昵称在文章中。

3)各位小伙伴可以通过以上URL测试一下自己的Wordpress站点。看看是不是可以拿到敏感信息。如果特别敏感,就赶紧设置权限。

关于wp后台加固,可以看之前的文章:


利用宝塔面板的目录保护来加固wordpress后台

WordPress网站默认登录地址wp-admin如何自定义的教程

 

weinxin
微信公众号
关注大鸟博客公众号
大鸟
匿名

发表评论

匿名网友

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:26   其中:访客  26   博主  0
    • moose moose 1

      学习学习,全被说中了

      • 陌涛 陌涛 3

        鸟哥速度真的快

        • 无心 无心 3

          这个可以有!

          • 伯衡君 伯衡君 1

            感谢,非常好的教程

            • 简单生活 简单生活 3

              不错不错 很实用

              • 2333 2333 0

                学习了,感谢分享

                • 396 396 1

                  这个可以有

                  • 浩纶说 浩纶说 3

                    学习如何部署!!

                    • 浩纶说 浩纶说 3

                      非常感谢!试试

                      • 初心 初心 0

                        这个可以!支持!

                        • NIDO NIDO 0

                          学习怎么保护网站安全

                          • Molly Molly 0

                            感谢,非常好的教程

                            • 日出时分 日出时分 2

                              学习学习

                              • 筱姿燃 筱姿燃 9

                                谢谢博主的教材,感谢!

                                • 阿卜杜 阿卜杜 2

                                  学习学习

                                  • 李晨晨 李晨晨 1

                                    学习学习,刚试了下确实这样。

                                    • 不懂事的依旧 不懂事的依旧 9

                                      来试试这个!!

                                      • 灵虚 灵虚 2

                                        感谢博主分享

                                        • 太の鱼 太の鱼 4

                                          学废了

                                          • njcts njcts 1

                                            谢谢大鸟

                                            • njcts njcts 1

                                              学习学习

                                              • Karen Karen 1

                                                学习一下怎么防治

                                                • Karen Karen 1

                                                  感谢,学习一下

                                                  • MOlly MOlly 1

                                                    学习一下,看看怎么办

                                                    • MOlly MOlly 1

                                                      都发表了评论,还是看不见文章内容

                                                      • DDX DDX 4

                                                        谢谢大佬