温馨提示:网站使用自适应技术,手机与电脑显示界面不同,电脑界面显示效果更佳。

做了个小站,积累一些技术,分享一些原创
    体会生活,记录一些小随笔,闲说心得

wordpress一直存在的一个安全隐患的完美解决办法

一直以来,wordpress从旧版本到现在的最新版本,一直有一个安全隐患,那就是:当你开启固定链接时,遍历作者隐患也就打开了。因为开启后,当需要搜索某个作者所有文章时,会在地址栏显示它的后台登录名。

比如,我们在某个使用wordpress网站网址后面加上:?author=1,那么它就跳转到 “author/作者登录名” ,这样的形式上,那么,一般管理员会是id为1的情况下,如果在wordpress使用的是默认后台地址或知道其后台登录地址时,使用爆破,也比较容易的破解。就算管理员不是1,依次换成2,3……,这样查下去。也清楚。

网上,有一些文章也提出了一些解决这个问题的办法,比如:

加入代码,使作者文章链接使用 author_id 代替,然后作者链接直接设置为 404 页面, user_login 不出现在 body_class 中, user_login 不出现在 comment_class 中等这些。

还有的,也使用建立多个用户名然后降权,和将id改成五六位数的,让人遍历时增加困难,从而放弃。

但以上这些这样修改的情况下,却失去了查询某作者不能列出它的文章的情况。并不完美。

其实,问题并不复杂,网上面这些搞得复杂而又缺失了。

所以,我来说说这个的完美解决办法吧:

隐藏内容,回复可见(无需登录注册)    “回复本文”后“刷新页面”查看隐藏内容!

好了。试一下,我刚才上面提到的遍历方法,看是不是现在已不会,并完每解决了问题。

点击数:821

你可能也喜欢下面相关文章:

2 讨论

  1. wqww说道:

    失去了查询某作者不能列出它的文章的情况。并不完美. 原文出自[张荣国] 转载请保留原文链接: https://zhangrongguo.com/archives/1883

  2. 吵吵说道:

    看看内容

回复 wqww 取消回复

必填项已用*标注