用户枚举是一种常见的攻击技术,攻击者通过此方法识别 WordPress 网站上的用户名。一旦获取用户名,攻击者可能会使用暴力破解或其他黑客手段试图入侵账户。以下是保护您网站的方法:

1. 限制对敏感信息的访问

  • 禁用通过 ?author=1 URL 查看用户信息的功能。
    将以下代码添加到 functions.php 文件:

    add_action('template_redirect', function() {
    if (is_author()) {
    wp_redirect(home_url());
    exit;
    }
    });

2. 使用安全插件

安装 WordfenceAll In One WP Security 等安全插件来监控并阻止可疑活动。这些插件能够检测并防止用户枚举攻击。

3. 通过 .htaccess 阻止用户枚举

对于 Apache 服务器,在 .htaccess 文件中添加以下代码以阻止针对用户名的请求:

RewriteCond %{QUERY_STRING} ^.*(author=\d+).*$
RewriteRule ^(.*)$ /? [L,R=301]

4. 强制执行强密码策略

鼓励所有用户使用强密码,并启用双因素身份验证 (2FA) 增加额外的安全层。

5. 监控日志记录可疑活动

定期检查网站日志,查找异常活动或多次尝试获取用户信息的行为。

6. 保持 WordPress 最新

确保 WordPress、插件和主题始终是最新版本,以修复已知的漏洞。

通过采取这些措施,您可以显著降低用户枚举的风险,保护您的 WordPress 网站安全。