WordPress作为目前全球最大的CMS,特定目录及文件被扫描攻击也是常有的事,而且特定的api及文件也会泄露网站的部分信息,所以对网站后台“加固”也是必不可少的。
账号信息
泄露路径
账号等信息可以通过/wp-json/wp/v2/users/特定的用户ID(如0、1、2等)访问后即可获取你的后台账号,一般情况下管理员的用户ID为0或1,对于只有一个账号的wp可以直接访问/wp-json/wp/v2/users/即可。从这里可以看出用户的id是1,登录账号为cccs。
解决办法
插件解决:在wp后台搜索WP REST API下载并安装即可,同时会禁用一些其它的api。插件无具体页面,启用后自动禁用,详细信息可以查看插件主页。
伪静态:直接在伪静态中添加如下代码即可静止访问。
location ~ ^/wp-json/wp/v2/users {
deny all;
}WAF:在匹配内容中添加/wp-json/wp/v2/users路径即可,下图1以1panel设置为例,图2为拦截效果。
登录路径
路径信息
wp的后台登录路径为/wp-login.php,我们直接在浏览器中输入wp-admin也会跳转到这个路径下。
解决办法
插件解决:在wp后台搜索WPS Hide Login下载并安装即可,通过更改登录 URL 并在未登录时阻止访问 wp-login.php 页面和 wp-admin 目录来保护您的网站,插件主页。
密码访问:我们也可以在网站设置里为/wp-login.php和wp-admin路径添加密码访问,这样也能阻止一些“无聊的人”
双因素认证2FA
最后可以在后台安装Google Authenticator插件为你的网站添加”最后一道防线”
