CMS教程

wordpress防黑教程之修改登录错误提示信息的方法

时间:01-29   作者:YDW   来源:YDW.ORG   阅读:66  
内容摘要:最近发现就算不用admin的默认用户名也能爆出的管理员账户,而且在任何版本的站点上都有效。的这类链接其中的admin就是管理员账号了,得到帐号就可以用密码穷举器来进行密码爆破了。=1其中的1是管理员id,默认情况下都是1的,如果不是1我们也可以用1-100之间的数字来试。官方文档里有一个定义在用户登录错误后提示信息的hook,我们可以用这个函数来修改登录错误信息了,这样就可以有效的防止密码穷举了。

云端网 - www.ydw.org

前一阵子全球攻击事件在博客圈子里流传开来,很多使用搭建博客的博主都惶惶不可终日,生怕下一个被攻击的就是自己,其实大家不用为此担心那些被攻击的博客都是些不注意站点安全的博客而已,他们都使用了admin的默认用户名,所以导致博客网站被黑。最近发现就算不用admin的默认用户名也能爆出的管理员账户,而且在任何版本的站点上都有效。

通过

https://www.zyku.net/?author=1

这种形式的链接访问就会转跳到类似于

https://www.zyku.net/author/admin/

的这类链接其中的admin就是管理员账号了,得到帐号就可以用密码穷举器来进行密码爆破了。(PS:链接中的/?=1其中的1是管理员id,默认情况下都是1的,如果不是1我们也可以用1-100之间的数字来试。)

那怎么来预防呢?官方文档里有一个定义在用户登录错误后提示信息的hook,我们可以用这个函数来修改登录错误信息了,这样就可以有效的防止密码穷举了。

function failed_login() { return '这是填写自定义的错误提示信息';

} add_filter('login_errors', 'failed_login');

将函数填入当前主题的.php文件即可。

(云端网 )

www.ydw.org - 云端网


标签:错误提示  攻击  
网站版权  8888888888  8888888888