使用Yoast SEO默认设置将暴露wordpress站点的登陆用户名!

2020年8月15日 1178点热度 2人点赞 0条评论

wordpress有很多漏洞,其中有些是wordpress官方作,像是rest api,xmlrpc等等,不过只需要关闭就可以了,而这个高达500万安装的插件却有很愚蠢的漏洞:默认生成带有wp登陆用户名的sitemap,并且早在2018年就被知名的wordpress漏洞扫描工具wpscan收录为爆破漏洞,默认设置暴露作者信息,在归档内关闭作者信息似乎可以避免暴露信息。
我自己使用wpscan扫了自己的站点,这个seo插件就直接在https://xxx.com/author-sitemap.xml下暴露了我wordpress的登陆用户名,安全防护做的再认真,来个内鬼直接拉胯。
内鬼


要使用必须关闭作者信息显示。

防止wpscan最直接的办法是在cloudflare的waf里面阻止wpscan,但并不推荐,因为这个工具也是帮助我们发现漏洞的一个简单工具,合理利用也能用来保护站点,当然在排除一些重要隐患之后,禁用也是不错的选择。

Qiui

这个人很懒,什么都没留下

订阅评论
提醒
guest
0 评论
内联反馈
查看所有评论
0
希望看到您的想法,请发表评论。x
()
x