WordPress让我们停止用户枚举

我一直在等待下一次WP更新，以解决由用户枚举系统引起的主要安全缺陷，黑客/机器人可以简单地添加> 在我学会从模板中删除所有作者链接之前，我已经有几个网站被黑客入侵，然后自定义.htaccess从？作者查询。即使是像Bulletproof security这样最好的安全插件，默认情况下也不会禁用作者枚举，因为在他们看来，它是一个核心的WP函数，所以他们唯一能做的就是为想要禁用它的人提供自定义代码。但很多人甚至没有意识到这是一个问题，直到他们被黑客攻击，或者他们的安全插件开始阻止恶意登录尝试。我想请求在下一次WP更新中进行此更改：对于任何选择以昵称公开显示的用户，他们的用户名不应该出现在前端的任何地方。与作者相关的URL应该改用昵称。如果其他人同意这一点，请在这里回复，也许我们可以说服WP开发人员彻底堵住这个主要的安全和隐私漏洞。透露用户名不存在安全风险。如果你的网站经常遭到黑客攻击，那不是因为用户名是可见的，而是因为密码质量不高，或者是因为你的服务器或主机帐户已经被入侵。你可能想实施一些（如果不是全部）推荐的安全措施。相比之下，考虑更大的服务，如谷歌、Facebook、Twitter，以及任何电子邮件服务，这些服务允许你用你的电子邮件地址登录，这是普通人经常与朋友和陌生人共享的。由于我的时间有限，我故意把这一点说得不够具体，而这场辩论是由WordPress开发人员和安全专家的回复来解决的，他们代表了从主机提供商到全球主要银行的各个方面，都支持用户名不存在安全风险，每年都会有好几次。请随意搜索这些线程，它们非常多。尽管如此，知道用户名并不是进入您的站点的主密钥。他们还需要泄露你的密码，这应该是足够强大的开始。把注意力集中在你所能控制的安全措施上，否则你会继续把注意力集中在链中的错误链接上，从而错过网站自身安全中任何建设性的可寻址点。 - 这个回复是4年9个月前由James Huff修改的。为了完整起见，这里有三个这样的回复线程从开发者和安全专家那里，在\"用户名\"的搜索结果的第一页中找到安全\"： https://wordpress.org/support/topic/wp-431-still-allows-visibility-of-admin-usernames/ https://wordpress.org/support/topic/scanning-for-author-and-failed-login-attempt/ https://wordpress.org/support/topic/author-page-shows-username-in-url-half-security-go/对不起，我不同意你的说法透露WP用户名并不存在安全风险。入侵WordPress网站与入侵Facebook帐户是不可比的。WordPress黑客可以向网站注入恶意脚本，以便对网络钓鱼进行垃圾邮件处理，这些都不能通过社交媒体平台完成。你说得对，用户名不是主密钥，只是其中的一半。然后你需要一个密码，如果没有安装安全插件，机器人可以无限次地猜测。如果密码不够强，它最终会被破解。你不需要告诉我关于安全措施、强密码等的事情。我知道所有这些，我通过开发无数的WP站点并看到其中许多站点被黑客攻击，从中学到了这一点，因为默认情况下（没有添加插件），WP的安全性是严重不足的。我想你错过了这里的要点：你和我可能知道如何创建一个站点安全-但是一般的开发人员可能没有。不管你是否同意这个事实，这是一个事实。WordPress是一个用户友好的平台，几乎任何具有最低IT知识水平的人都可以使用它来建立一个网站，每天都有成千上万的人这样做。因此，现在网络上充斥着数以百万计的易受攻击的网站，其中许多已经被黑客入侵并用于恶意目的。请随意查看这方面的数据，他们描绘了一幅非常清晰的画面。你该怪谁？没有经验的开发人员？请继续，这不会改变正在发生的事实。您链接到的帖子只有在您已经知道该问题的情况下才有用。大多数人不这样做，所以这里描述的安全措施只由一小部分开发人员实现。世界其他地区仍处于危险之中。暴露用户名是一种安全风险——事实上。WP开发者越早开始对f负责或者他们系统中的弱点，我们就会越早看到垃圾邮件和网络钓鱼网站的减少。我还谈到了隐私问题，我认为这是最基本的：如果用户选择用昵称来表示，他们希望整个前端（包括URL）都是这样。同样，你可能会争辩说，有办法解决这个问题-但我的观点是，大多数人不知道或不了解这一切。世界上最流行的CMS需要在提供开箱即用的安全和隐私方面做得更好，而不期望用户知道如何通过额外的插件和代码更改来实现。出于时间的考虑，我不想再重复所有这些内容，我想把您引向我前面列出的三个主题，在这里，前面已经提出并讨论了所有相同的观点：https://wordpress.org/support/topic/lets-put-a-stop-to-user-enumeration/#post-8228142 如果您想要更多，只需在上面的搜索字段中搜索\"用户名安全\"，它们数量众多，而且都具有相同的观点、数据、观点和事实。确实不需要这些线程中的另一个。 - 此回复是4年9个月前由James Huff修改的。 WordPress core是安全的，你读过这一页吗：https://wordpress.org/about/security/? 嗯……我不想在这里争论太久。詹姆斯，我浏览了以前的那些帖子，问题是：它们都被标记为关闭或已解决，而在我看来它们根本没有解决。充其量，对立双方只是同意在是否构成安全问题上存在分歧。在我看来是的。你不能只是说：使用一个强密码。你说的是教育全世界安全标准。如果每个使用WordPress的人都能遵守这些标准，那就太好了，但实际情况是不同的。用户将选择他们能记住的密码。即使我亲自创建用户并给他们强密码，我后来发现他们将其更改为更令人难忘的内容。 WP是最为用户友好的CMS之一，这就是为什么这么多开发人员在其上建立网站，而这么多没有经验的用户可以访问WP后端的原因。这就是为什么WP团队需要采取一切可能的步骤来最大限度地提高开箱即用的安全性，而不期望用户进行数据库更改（正如其中一篇文章所建议的！）或者安装额外的插件。隐藏用户名可能不是最终的安全措施，但这将是朝着正确方向迈出的一小步。老实说，在我看来，WP开发者太骄傲了，不会承认存在问题。他们坚持了这么多次，在这么多的帖子，没有，也许他们担心失去面子，如果他们回去，改变它。就我个人而言，我不明白最大的问题是什么：进行必要的更改，以便下一次更新时，只要用户在后端选择了此选项，就会在整个前端使用昵称交换用户名。如果发生这种情况，我就保证不会回到这里说：\"我早就告诉过你了\"。这并不像扳动开关那么简单，相当一部分底层代码需要更改。好消息是，WordPress是由志愿者免费构建和支持的，因此您也可以提供帮助。首先提交一个bug报告，最好是一个补丁：https://make.wordpress.org/core/handbook/testing/reporting-bugs/ 最好将其报告为增强功能，而不是安全漏洞，因为如果你把它报告为一个漏洞（其实不是），那么那些把大部分时间花在关注真正的漏洞上的人可能会把它击倒。如果你把它作为一个增强，它更有可能获得吸引力，特别是如果包含了补丁的话。 - 这个回复是4年9个月前由James Huff修改的。 - 这个回复是4年9个月前由James Huff修改的。 - 这个回复是4年9个月前由James Huff修改的。理由：精炼/简化，咖啡前的大字再见 - 这个回复是4年9个月前由James Huff修改的。我所有的网站都有一个用户/管理员登录名，我。所有设置为显示/信息网站，因为我认为许多其他太多，所以我们不担心有效用户被禁止的问题。所以一个选项，允许不允许所有登录尝试\"除了从用户…（管理员）\"我认为是有用的

WordPress让我们停止用户枚举

admin_action_{$_REQUEST[‘action’]}

admin_footer-{$GLOBALS[‘hook_suffix’]}

customize_save_{$this->id_data[‘base’]}

customize_value_{$this->id_data[‘base’]}

get_comment_author_url

network_admin_edit_{$_GET[‘action’]}

network_sites_updated_message_{$_GET[‘updated’]}

pre_wp_is_site_initialized

WordPress 的SEO 教学：如何在网站中加入关键字（Meta Keywords）与Meta 描述（Meta Description）？

谷歌的SEO是什么