WordPress安全性,默认安装差(用户名显示在Hello World post上)

我认为在创建一个新的WP站点(2015年)时,默认安装会立即创建一个helloworld示例博客文章,其中包含站点创建者的用户名(可能是admin,不管名称是否不同),供所有黑客查看,这是一个可笑的安全讽刺!首先,WP已经存在了足够长的时间,我认为我们甚至不需要一个(愚蠢的?)不管怎样,博客文章样本(尽管可能有人这样做?)。至少,默认设置应该是隐藏作者的名字,而不是发布给整个世界,以便在创建网站时立即看到网站创建者的名字。 事实上,因为示例Hello world post是专门为新手用户准备的(还不一定是安全专家?),对于默认安装(从安全角度来看)来说,显示一个通用的(或者更好的是,没有)作者名不是更好吗? 就我个人而言,我不希望有任何示例博客文章,但如果必须在默认安装中创建一个,至少要通知新手用户(是的,这可能意味着我)默认的文章将显示他们的登录名,以便所有黑客开始尝试使用登录名进入您的网站。 背景:自从在基于Drupal的网站上跳槽以来,我已经使用WP有一段时间(数年),最近我们的网站黑客攻击尝试的频率大幅上升。我创建的一个新网站几乎立刻就被点击了,我很困惑他们是如何发现并使用我的登录名的(我们从不使用\"admin\")。 我们的大多数网站都不是博客,所以我很少给博客部分一眼,直到进一步发展。当然,现在我要做的第一件事就是把这个愚蠢的helloworld帖子变成一个草稿,这样它就不可见了。当我看到helloworld的帖子时,很明显黑客是如何立刻知道我的登录名的。在我们的安全意识2015年难以置信?我从中吸取了教训。我们的WP开发者呢?拜托? 这个问题经常出现,与其重复为什么全然不顾的用户名都是为了安全(而且从来没有过),不如给这个打个a> 或者如果你愿意,给这个打个a> 对于其他人最新的非常好的回复,你可以跳到前面,在> 试试这个,是的,我完全理解\"最佳实践\"方法以及持续的安全意识、监视和不断更新。 当然,用户名(隐藏)实际上并不是\"安全\"本身。但是,对于一个全新的安装来说,默认情况下,一个新的WP用户在安装时立即以新的名称登录似乎很疯狂。 Drupal(相比之下)在默认情况下甚至不创建/启用博客,当然也不创建用户的\"示例文章\"。那太可笑了。 WP已经过了幼稚的Hello World阶段,在我看来,默认的安装不应该包含一个即时的、即时的用户登录用户名。这应该是一个选择,而不是默认值。 现在是为经验丰富的开发人员更新WP(他们真的不需要示例帖子,请&谢谢),还是为新手、第一次使用WP的用户更新WP(他们可能对安全一无所知),Hello World示例帖子早就过时了。 有多少新的WP安装程序在创建令人兴奋的新WP站点之前,会在论坛上搜索标记为\"安全\"的信息和讨论?太好了,有(并且已经)关于这个话题的长时间的讨论,过去的和正在进行的,但是现在简单地抛弃Hello World的愚蠢怎么样?!?! 是的,我完全了解\"最佳实践\"方法以及持续的安全意识、监控和不断更新。 这让我松了一口气。相比之下,Drupal在默认情况下甚至不创建/启用blog,当然也不会创建用户的\"示例文章\"。那就太荒谬了。 那么人们在访问新网站时会收到未找到的帖子。当他们删除了默认的帖子,并得到了消息,他们来到这些论坛。你能做什么,一个默认的只是可以删除。 有多少新的WP安装者在创建他们令人兴奋的新WP站点之前,在论坛上寻找标记为\"安全\"的信息和讨论?太好了,有(并且已经)关于这个话题的长时间的讨论,过去的和正在进行的,但是现在简单地抛弃Hello World的愚蠢怎么样?!?!想想看,在这些论坛中的700万个帖子中,安全部分大概是10个?慷慨…20?25? 假设在这些论坛上有100篇帖子都是这样的。 默默无闻的安全性,这就是为什么你要竭力隐藏你的用户名,本身是毫无价值的。它一直都是,它没有安全价值。如果你不能保护它,那它就不是安全的一部分了。 请看我做的\"昵称到我的帐户,并选择它作为已发布/显示的名称。很好,现在我看到使用我的管理员姓名(当然不是管理员)的人多次暴力猜密码攻击,这让我非常恼火。 他们怎么这么容易、这么快地找到我的管理员姓名?!?!?我们从不使用admin作为管理员的\"用户名\"。哦,这是因为WordPress会在网站创建/上线时立即发布我的AMDIN/登录凭据。太棒了~! 现在,同样,对于那些评论电子邮件地址(作为登录名)是\"公共知识\"的人,任何拥有你的电子邮件地址的人都可以使用;对于其他人(网站经理/管理员)不确定,但我拥有超过5个电子邮件地址(10或20个),用于各种用途,从未将我的公共电子邮件地址用作任何网站的管理员登录。 除此之外,请前往查看是否可以找到任何高知名度网站的管理员用户名登录凭据,如谷歌、雅虎、亚马逊、易趣、Facebook等等打开。去吧,我敢说你,当你找到一个管理员用户名/登录凭证的任何知名网站,发表在这里只是为了好玩。最后一个练习祝你好运。 不是关于普通用户名,这是关于主要的、初始的站点创建者/管理员用户凭据,默认情况下会立即发布,向世界问好,现在就用这些凭据来入侵我的站点,因为这不仅仅是任何普通用户,这是这个站点的管理员! SC 好的。我已经读了这篇文章,我要结束这个话题。它只是不再有成效,是的,我们都读了你的第一篇文章。 这真的和真实的总结了你的观点。 不是关于普通用户名的人,这是关于主要的,初始网站创建者/管理员用户凭据默认立即发布并立即向世界问好,使用这些凭据黑客现在我的网站,因为这不仅仅是任何普通用户,这是这个网站的管理员! 我增加了强调。 这是由两个原因造成的。第一,默认的职位是有意义的。当人们看到他们的安装时,他们不想看到\"找不到post\"错误消息。 你不喜欢这样。这是可以理解的。 第二部分是包括管理员在内的用户名永远不会被掩盖。是否查看\"初始站点创建者/管理员用户凭据\"部分?这就是为什么我们都在讨论如何隐藏你的用户ID即使是管理员也是毫无意义的。这就是为什么整个主题都是这样的。 我现在结束这个主题。 这是关于默认情况下立即发布的主要初始站点创建者/管理员用户凭据的问题。 只是添加了这样一点:用户名不是\"凭据\"。凭据是用户名和密码的组合。知道你的用户名不会给攻击者提供任何有用的信息,因为他们需要你的密码才能登录。此外,还有六种不同的方法可以找到用户名,包括但不限于简单地阅读博客名称。 我的博客用户名是\"otto\"。祝你好运

admin_action_{$_REQUEST[‘action’]}

do_action( "admin_action_{$_REQUEST[‘action’]}" )动作钩子::在发送“Action”请求变量时激发。Action Hook: Fires when an ‘action’ request variable is sent.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$_REQUEST['action']引用从GET或POST请求派生的操作。源码(Source)更新版本源码位置使用被使用2.6.0 wp-admin/admin.php:...

日期:2020-09-02 17:44:16 浏览:1127

admin_footer-{$GLOBALS[‘hook_suffix’]}

do_action( "admin_footer-{$GLOBALS[‘hook_suffix’]}", string $hook_suffix )操作挂钩:在默认页脚脚本之后打印脚本或数据。Action Hook: Print scripts or data after the default footer scripts.目录锚点:#说明#参数#源码说明(Description)钩子名的动态部分,$GLOBALS['hook_suffix']引用当前页的全局钩子后缀。参数(Parameters)参数类...

日期:2020-09-02 17:44:20 浏览:1033

customize_save_{$this->id_data[‘base’]}

do_action( "customize_save_{$this->id_data[‘base’]}", WP_Customize_Setting $this )动作钩子::在调用WP_Customize_Setting::save()方法时激发。Action Hook: Fires when the WP_Customize_Setting::save() method is called.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_data...

日期:2020-08-15 15:47:24 浏览:775

customize_value_{$this->id_data[‘base’]}

apply_filters( "customize_value_{$this->id_data[‘base’]}", mixed $default )过滤器::过滤未作为主题模式或选项处理的自定义设置值。Filter Hook: Filter a Customize setting value not handled as a theme_mod or option.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分,$this->id_date['base'],指的是设置...

日期:2020-08-15 15:47:24 浏览:866

get_comment_author_url

过滤钩子:过滤评论作者的URL。Filter Hook: Filters the comment author’s URL.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/comment-template.php:32610...

日期:2020-08-10 23:06:14 浏览:903

network_admin_edit_{$_GET[‘action’]}

do_action( "network_admin_edit_{$_GET[‘action’]}" )操作挂钩:启动请求的处理程序操作。Action Hook: Fires the requested handler action.目录锚点:#说明#源码说明(Description)钩子名称的动态部分$u GET['action']引用请求的操作的名称。源码(Source)更新版本源码位置使用被使用3.1.0 wp-admin/network/edit.php:3600...

日期:2020-08-02 09:56:09 浏览:848

network_sites_updated_message_{$_GET[‘updated’]}

apply_filters( "network_sites_updated_message_{$_GET[‘updated’]}", string $msg )筛选器挂钩:在网络管理中筛选特定的非默认站点更新消息。Filter Hook: Filters a specific, non-default site-updated message in the Network admin.目录锚点:#说明#参数#源码说明(Description)钩子名称的动态部分$_GET['updated']引用了非默认的...

日期:2020-08-02 09:56:03 浏览:834

pre_wp_is_site_initialized

过滤器::过滤在访问数据库之前是否初始化站点的检查。Filter Hook: Filters the check for whether a site is initialized before the database is accessed.目录锚点:#源码源码(Source)更新版本源码位置使用被使用 wp-includes/ms-site.php:93910...

日期:2020-07-29 10:15:38 浏览:809

WordPress 的SEO 教学:如何在网站中加入关键字(Meta Keywords)与Meta 描述(Meta Description)?

你想在WordPress 中添加关键字和meta 描述吗?关键字和meta 描述使你能够提高网站的SEO。在本文中,我们将向你展示如何在WordPress 中正确添加关键字和meta 描述。为什么要在WordPress 中添加关键字和Meta 描述?关键字和说明让搜寻引擎更了解您的帖子和页面的内容。关键词是人们寻找您发布的内容时,可能会搜索的重要词语或片语。而Meta Description则是对你的页面和文章的简要描述。如果你想要了解更多关于中继标签的资讯,可以参考Google的说明。Meta 关键字和描...

日期:2020-10-03 21:18:25 浏览:1621

谷歌的SEO是什么

SEO (Search Engine Optimization)中文是搜寻引擎最佳化,意思近于「关键字自然排序」、「网站排名优化」。简言之,SEO是以搜索引擎(如Google、Bing)为曝光媒体的行销手法。例如搜寻「wordpress教学」,会看到本站的「WordPress教学:12个课程…」排行Google第一:关键字:wordpress教学、wordpress课程…若搜寻「网站架设」,则会看到另一个网页排名第1:关键字:网站架设、架站…以上两个网页,每月从搜寻引擎导入自然流量,达2万4千:每月「有机搜...

日期:2020-10-30 17:23:57 浏览:1264