前一陣子wordpress全球攻擊事件在博客圈子里流傳開來,，很多使用wordpress搭建博客的博主都惶惶不可終日,，生怕下一個(gè)被攻擊的就是自己，其實(shí)大家不用為此擔(dān)心那些被攻擊的博客都是些不注意站點(diǎn)安全的博客而已,，他們都使用了admin的默認(rèn)用戶名,，所以導(dǎo)致博客網(wǎng)站被黑。最近發(fā)現(xiàn)就算不用admin的默認(rèn)用戶名也能爆出wordpress的管理員賬戶,，而且在任何版本的wordpress站點(diǎn)上都有效,。

通過

https://file.zyku.net/?author=1

這種形式的鏈接訪問wordpress就會(huì)轉(zhuǎn)跳到類似于

https://file.zyku.net/author/admin/

的這類鏈接其中的admin就是管理員賬號(hào)了，得到帳號(hào)就可以用wordpress密碼窮舉器來進(jìn)行密碼爆破了,。（PS：鏈接中的/?author=1其中的1是管理員id,，默認(rèn)情況下都是1的，如果不是1我們也可以用1-100之間的數(shù)字來試,。）

那怎么來預(yù)防呢,？wordpress官方文檔里有一個(gè)定義在用戶登錄錯(cuò)誤后提示信息的hook，我們可以用這個(gè)函數(shù)來修改登錄錯(cuò)誤信息了,，這樣就可以有效的防止密碼窮舉了,。

function failed_login() {    return '這是填寫自定義的錯(cuò)誤提示信息';   }add_filter('login_errors', 'failed_login');

將函數(shù)填入當(dāng)前主題的functions.php文件即可。