WordPress停止允许用户枚举

2021-09-05 14:00:05 other 阅读:816
多年来,在新安装的WordPress上,可以枚举用户ID和用户帐户的用户名。 我通常自己解决这个问题函数.php,但是今天当我在考虑新的WP版本时,我不禁想知道为什么这个bug仍然存在。它已经成为Metasploit的一部分很多年了,需要5个LOC才能修复。 WordPress仍然容易受到这种攻击有什么原因吗?它可以很快被修复,这样我就可以停止重新修改我的主题每次得到更新? 用户枚举不被视为安全漏洞。 请阅读以下内容:https://make.wordpress.org/core/handbook/testing/reporting security漏洞/#为什么-同意披露用户名或用户名不安全问题。仅供参考,我们的团队改变了我们的立场,在这一段时间,仍在努力更新文件和产品。如果您引用我们的研究,我会提到这一点。 最好将精力花在通过强密码和双因素身份验证来保护身份验证过程上。 马克。 谢谢你和我讨论这个话题。我知道用户名是用来共享的,电子邮件地址通常不是秘密的(就个人而言)。然而,我仍然认为互联网上的任何人都可以获得一个干净的.csv用户和任何WordPress网站的用户ID是错误的。 我还在寻找WP团队在这方面的理由。我知道你不认为这是一个武林,但我不明白为什么。考虑到需要不到10行代码来修复,我觉得\"我们认为没有必要\"是一种逃避。 此外,我认为仅仅通过在网页上显示用户名,我们就违反了GDPR。假设我经营一个成人娱乐网站。任何枚举我的用户列表的人都会得到关于我用户的非常私人的信息(即:他们首先使用我的网站的事实)。 显然,贡献者有点不同,因为他们知道这些信息是共享的。 但是如果谷歌给了你一个所有账户持有人用户名的.csv文件,仅仅因为你有点乱翻怎么办。你不觉得他们会认为这是个弱点吗? 此外,你实际上是在向黑客提供实施暴力攻击所需的工具。强密码是很好的,但是如果你手里有一个用户名列表,暴力强迫就成了一个笑话。外面有成百上千的单词表。如果我们禁用枚举,攻击者现在不仅要猜密码,还要猜用户名。 编写10个LOC来加固数百万个网站的工作似乎微不足道。我只是很难理解为什么WP要为毫无回报和零开发成本而带来如此大的风险。也许你可以详细说明一下? 可能需要10多行代码,因为一般的原则是泄漏用户名是可以的。因此,考虑超过50000个插件和000个主题,可能包括泄漏和需要修复。如果哲学发生了变化,那么研究人员就可以在大量的代码上打开CVEs,因为与核心相比,它现在被认为是\"不安全的\"。 我可以理解不破坏现有的应用程序。对我来说,这似乎是唯一合乎逻辑的原因。 但是如果安全性仅仅是一种\"感知\",那么为什么在服务器上禁用用户枚举呢wordpress.org?我只是试图列举它的用户,但失败了。可能是因为他们添加了与我在WordPress中添加的类似的代码。 奇怪。为什么我不能列举你的用户?我认为这是一个简单,无辜,无伤大雅的任务,服务好的目的! 不管用户或开发人员认为这个\"功能\"有什么好处。黑客知道这是一个弱点,在野外就是这样使用的。如果WordPress开发人员认为它不重要,如果黑客在野外使用它,这并不重要。他们不在乎是否有脑血管病。如果他们能用curl和bash转储一个用户列表,那就是他们要做的。 我将优雅地关闭此请求并继续修改我的函数.php我一直都是这样,但我不同意这种\"功能性\"的说法。 在一个博客的生命中,可能有5次用户会按照预期的方式使用这个功能。相比之下,可以保证一个博客会被一些curl+bash脚本或Kali+WPScan成千上万次地被成百上千的坏演员击中。对我来说,这不值得冒这个风险。 - 这个答复是由HonestRepairAdmin在2年6个月前修改的。 - 这个答复是由HonestRepairAdmin在2年6个月前修改的。 - 这个答复是由HonestRepairAdmin在2年前修改的,6个月前由HonestRepairAdmin发布。 但是如果安全性仅仅是一种\"感知\",那么为什么用户枚举在wordpress.org? 因为我们在这个网站上有1000多万个帐户,而且试图检索这些帐户基本上都失败了网站。但我们并没有将其限制在任何地方,特别是在这些支持论坛上。 在一个博客的生命周期中,可能有5次用户会按预期的方式使用此功能。 新编辑会使用它。当允许您通过restapi更改文章的作者时,它会加载一个用户列表

admin_action_{$_REQUEST[‘action’]}

do_action( "admin_action_{$_REQUEST[‘action’]}" )动作钩子::在发送“Action”请求变量时激发。Action Hook: Fires when an ‘action’ request variable is sent.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$_REQUEST['action']引用从GET或POST请求派生的操作。源码(Source)更新版本源码位置使用被使用2.6.0 wp-admin/admin.php:...

日期:2020-09-02 17:44:16 浏览:1170

admin_footer-{$GLOBALS[‘hook_suffix’]}

do_action( "admin_footer-{$GLOBALS[‘hook_suffix’]}", string $hook_suffix )操作挂钩:在默认页脚脚本之后打印脚本或数据。Action Hook: Print scripts or data after the default footer scripts.目录锚点:#说明#参数#源码说明(Description)钩子名的动态部分,$GLOBALS['hook_suffix']引用当前页的全局钩子后缀。参数(Parameters)参数类...

日期:2020-09-02 17:44:20 浏览:1071

customize_save_{$this->id_data[‘base’]}

do_action( "customize_save_{$this->id_data[‘base’]}", WP_Customize_Setting $this )动作钩子::在调用WP_Customize_Setting::save()方法时激发。Action Hook: Fires when the WP_Customize_Setting::save() method is called.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_data...

日期:2020-08-15 15:47:24 浏览:807

customize_value_{$this->id_data[‘base’]}

apply_filters( "customize_value_{$this->id_data[‘base’]}", mixed $default )过滤器::过滤未作为主题模式或选项处理的自定义设置值。Filter Hook: Filter a Customize setting value not handled as a theme_mod or option.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_date['base'],指的是设置...

日期:2020-08-15 15:47:24 浏览:900

get_comment_author_url

过滤钩子:过滤评论作者的URL。Filter Hook: Filters the comment author’s URL.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/comment-template.php:32610...

日期:2020-08-10 23:06:14 浏览:930

network_admin_edit_{$_GET[‘action’]}

do_action( "network_admin_edit_{$_GET[‘action’]}" )操作挂钩:启动请求的处理程序操作。Action Hook: Fires the requested handler action.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$u GET['action']引用请求的操作的名称。源码(Source)更新版本源码位置使用被使用3.1.0 wp-admin/network/edit.php:3600...

日期:2020-08-02 09:56:09 浏览:877

network_sites_updated_message_{$_GET[‘updated’]}

apply_filters( "network_sites_updated_message_{$_GET[‘updated’]}", string $msg )筛选器挂钩:在网络管理中筛选特定的非默认站点更新消息。Filter Hook: Filters a specific, non-default site-updated message in the Network admin.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分$_GET['updated']引用了非默认的...

日期:2020-08-02 09:56:03 浏览:864

pre_wp_is_site_initialized

过滤器::过滤在访问数据库之前是否初始化站点的检查。Filter Hook: Filters the check for whether a site is initialized before the database is accessed.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/ms-site.php:93910...

日期:2020-07-29 10:15:38 浏览:834

WordPress 的SEO 教学:如何在网站中加入关键字(Meta Keywords)与Meta 描述(Meta Description)?

你想在WordPress 中添加关键字和meta 描述吗?关键字和meta 描述使你能够提高网站的SEO。在本文中,我们将向你展示如何在WordPress 中正确添加关键字和meta 描述。为什么要在WordPress 中添加关键字和Meta 描述?关键字和说明让搜寻引擎更了解您的帖子和页面的内容。关键词是人们寻找您发布的内容时,可能会搜索的重要词语或片语。而Meta Description则是对你的页面和文章的简要描述。如果你想要了解更多关于中继标签的资讯,可以参考Google的说明。Meta 关键字和描...

日期:2020-10-03 21:18:25 浏览:1729

谷歌的SEO是什么

SEO (Search Engine Optimization)中文是搜寻引擎最佳化,意思近于「关键字自然排序」、「网站排名优化」。简言之,SEO是以搜索引擎(如Google、Bing)为曝光媒体的行销手法。例如搜寻「wordpress教学」,会看到本站的「WordPress教学:12个课程…」排行Google第一:关键字:wordpress教学、wordpress课程…若搜寻「网站架设」,则会看到另一个网页排名第1:关键字:网站架设、架站…以上两个网页,每月从搜寻引擎导入自然流量,达2万4千:每月「有机搜...

日期:2020-10-30 17:23:57 浏览:1308