如何防止黑客扫描出WordPress管理员用户名？

如何防止黑客扫描出 WordPress 管理员用户名？首先：黑客是怎么知道我的管理员用户名的？有了正确的管理员用户名，黑客攻破网站的难度直接减了一半，猜对管理员密码就行了。其次：如何防止黑客扫描出 WordPress 管理员用户名？最后：如何修改已经暴露了的 WordPress 管理员用户名？

黑客是怎么知道管理员用户名的？

1. 默认情况下，访问 https://xxx.com/?author=1 这样的链接，会自动跳转到 https://xxx.com/author/你的用户名/，从而暴露了用户名为 admin（如果用户 ID 是 1）或你的新用户名。很好理解，网站的第一个用户，肯定是站长了，也就是有最高权限的管理员。
2. WordPress REST API 是一个列出用户名的接口，访问https://xxx.com/wp-json/wp/v2/users，会返回所有用户信息。
3. WordPress 在文章作者处显示的可能默认是你的用户名。

如何防止黑客扫描出 WordPress 管理员用户名？

用 Nginx 拦截“/?author=”和“屏蔽 REST API 接口”

 1. 编辑站点配置文件 app.conf:

nano ./nginx/conf.d/app.conf

2. 添加新的安全规则:

在 HTTPS (443) 的server { ... }内部，将这些安全规则放在一起，便于管理。可以放在 server_name 的下面。

server {
    listen 443 ssl http2;
    server_name xxx.com www.xxx.com;

    # ================== 新增安全规则 开始 ==================
    
    # 1. 防止通过 author 参数的用户枚举攻击
    if ($args ~* "author=\d+") {
        return 403;
    }
    
    # 2. 屏蔽 REST API 的用户列表接口
    location = /wp-json/wp/v2/users {
        return 403;
    }
    # 如果你想屏蔽更广范围的 user 相关接口
    # location ~* ^/wp-json/wp/v2/users/ {
    #     return 403;
    # }
    
    # ================== 新增安全规则 结束 ==================
    
    
    # ... 其他配置，如 root, index, if ($host = ...), location / 等 ...
}

3.保存文件并平滑重载 Nginx

docker compose exec nginx nginx -s reload

修改用户昵称

WordPress 在文章作者处显示的可能默认是你的用户名。

1. 左侧菜单 -> 用户 -> 个人资料。
2. 找到“昵称（必填）”字段，输入一个你想公开展示的名字（比如 “站长”、“anjir” 或者任何笔名）。
3. 在下面的“公开显示为”下拉菜单中，务必选择你刚刚设置的那个昵称。
4. 点击“更新个人资料”。

这样，你网站前台所有显示作者的地方，都将是你的昵称，而不是你那保密的登录用户名。

如何修改已经暴露了的 WordPress 管理员用户名？

直接通过数据库修改用户名

1. 进入数据库容器

docker exec -it wordpress_db mysql -u root -p

2. 使用 WordPress 数据库

USE wordpress;

3. 查询管理员账号

SELECT ID, user_login FROM wp_users;

4. 修改用户名为一个不容易猜的新名字，例如 supercat_admin_xyz：

UPDATE wp_users SET user_login = 'supercat_admin_xyz' WHERE ID = 1;

5. 退出

EXIT;

以上关于如何防止黑客扫描出WordPress管理员用户名？的文章就介绍到这了，更多相关内容请搜索码云笔记以前的文章或继续浏览下面的相关文章，希望大家以后多多支持码云笔记。