WordPress的管理员用户名是如何泄露的

最新推荐文章于 2024-03-07 15:06:25 发布
最新推荐文章于 2024-03-07 15:06:25 发布
阅读量1.4k 收藏 2
点赞数
文章标签: wordpress
原文链接:http://www.5uapk.com/game/3047.html
版权

WordPress 的管理员账户很容易就能获取,虽然说拿到了管理员账号,用处不是很大,但是不排除有些小白的密码是简单的数字密码。被攻击者爆破或者撞库成功,从而获得后台的管理员账户。

那么。攻击者是怎样拿到你的Wordpress 【管理员用户名】的,以及如何保护自己的管理员账户不被获取,这篇文章就来谈谈!!!

获取

1、先说说管理员账户如何泄露

攻击者或者攻击程序构造了:https://www.5uapk.com/wp-json/wp/v2/users/  的URL进行GET,这样99%会返回一串信息,里面包含了你的管理员账户。如下:

 

  1. [{"id":1,"name":"daniao","url":"","description":"","link":"https:\/\/daniao.com\/author\/daniao","slug":"daniao","avatar_urls":{"24":"https:\/\/cn.gravatar.com\/avatar\/28f745cefb1ad2da1747cdcfccc0ddfa?s=24&d=mm&r=g","48":"https:\/\/cn.gravatar.com\/avatar\/28f745cefb1ad2da1747cdcfccc0ddfa?s=48&d=mm&r=g","96":"https:\/\/cn.gravatar.com\/avatar\/28f745cefb1ad2da1747cdcfccc0ddfa?s=96&d=mm&r=g"},"meta":[],"_links":{"self":[{"href":"https:\/\/daniao.com\/wp-json\/wp\/v2\/users\/1"}],"collection":[{"href":"https:\/\/daniao.com\/wp-json\/wp\/v2\/users"}]}}]
 

以上信息可以发现:daniao就是管理员账号,真实已被隐藏,这里只为了演示。
 

2、确认是否使用了wordpress程序
 

其实上面的代码差不多已经确认你用的是wp程序了,这里还是提及一下:
 

攻击者或者攻击程序通过构造 https://www.5uapk.com//wp-includes/wlwmanifest.xml  的URL进行GET,来判断你是否使用了Wordpress程序。以及你的后台登录地址!输入后你会得到这样的反馈。所以修改后台登录地址很重要。
 

 

  1. <manifest xmlns="http://schemas.microsoft.com/wlw/manifest/weblog">
  2. <options>
  3. <clientType>WordPress</clientType>
  4. <supportsKeywords>Yes</supportsKeywords>
  5. <supportsGetTags>Yes</supportsGetTags>
  6. </options>
  7. <weblog>
  8. <serviceName>WordPress</serviceName>
  9. <imageUrl>images/wlw/wp-icon.png</imageUrl>
  10. <watermarkImageUrl>images/wlw/wp-watermark.png</watermarkImageUrl>
  11. <homepageLinkText>View site</homepageLinkText>
  12. <adminLinkText>Dashboard</adminLinkText>
  13. <adminUrl>
  14. <![CDATA[ {blog-postapi-url}/../wp-admin/ ]]>
  15. </adminUrl>
  16. <postEditingUrl>
  17. <![CDATA[ {blog-postapi-url}/../wp-admin/post.php?action=edit&post={post-id} ]]>
  18. </postEditingUrl>
  19. </weblog>
  20. <buttons>
  21. <button>
  22. <id>0</id>
  23. <text>Manage Comments</text>
  24. <imageUrl>images/wlw/wp-comments.png</imageUrl>
  25. <clickUrl>
  26. <![CDATA[ {blog-postapi-url}/../wp-admin/edit-comments.php ]]>
  27. </clickUrl>
  28. </button>
  29. </buttons>
  30. </manifest>
 

3、确认你的用户id
 

攻击者还会通过构造 < https://www.5uapk.com?author=1 //?author=2 //?author=3>  来确认你的管理员id,以此来和上面的匹配。
 

保护
 

既然知道了,那么如何防护呢,继续往下看吧。
 

4、设置访问权限
 

1)禁止访问/wp-json/wp/v2/users/,如果是宝塔的话,可以在网站配置或者伪静态中设置如下代码。
 

此处为隐藏的内容!
 

发表评论并刷新,方可查看
 

 

 

4)效果
 

这时候访问上述网页,就会被屏蔽结果。如图:
 

 

 

 

5、如果你是宝塔而且安装了专业版防火墙,还可以这样设置
 

在禁止访问的url中添加以下规则:
 

 

  1. /wp-json/wp/v2/users
  2. /wp-includes/wlwmanifest.xml
 

 

此时访问,会出现防火墙拦截的提示。
 

 

6、最后
 

这其实不是个漏洞,所以不用紧张,其实稍微注意点安全的小伙伴早就修改了一个非常强壮的密码,隐藏了登录后台,禁用了xmlrpc.php。
 

1)如果要禁用xmlrpc.php,可以利用nginx,代码如下,放置还是和上面一样,放在伪静态设置中。
 

 

  1. location ^~ /xmlrpc.php { return 403; }
 

是否禁用根据自己需要吧,如果出现升级错误,那么可以删除掉或者禁用掉代码即可。
 

2)其实有一些主题的管理员账号是显示在文章里面的,感觉这样真的是……,我们可以在wp后台设置一个昵称,这样文章会显示昵称在文章中。
 

3)各位小伙伴可以通过以上URL测试一下自己的Wordpress站点。看看是不是可以拿到敏感信息。如果特别敏感,就赶紧设置权限。
 

转载地址:http://www.5uapk.com/game/3047.html

                

        

        

    




    

      

        

            

              
                
                  fmz2222
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  6
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
WordPress 利用 XMLRPC 高效爆破 原理分析

				
			

			

				

					yinjie19930203的博客
				

				

					10-12
					
					1831
					
				

			

		

		

			
				
mlrpc 是 WordPress 中进行远程调用的接口,而使用 xmlrpc 调用接口进行账号爆破在很早之前就被提出并加以利用。近日 
SUCURI 发布文章介绍了如何利用 xmlrpc 调用接口中的 system.multicall 来提高爆破效率,使得成千上万次的帐号密码组合尝试能在一次请求完成,极大的压缩请求次数,在一定程度上能够躲避日志的检测。
0x01 原理分析

WordPr

			
		

	



                

              
                



	

		

			

				
					
WordPress使用中文用户名的方法

				
			

			

				

					01-20
				

			

		

		

			
				
WordPress上添加中文用户时报错说不支持中文,得到如下错误:错误:请填写用户名。错误:此用户名包含无效字符,请输入有效的用户名。 修改源代码的解放方法: 编辑wp-includes/formatting.php,找到函数function ...

			
		

	



                


  
              

                


	

		

			

				
					
网络军火商泄漏惊天内幕:中国才是受害者!

				
			

			

				

					weixin_34343308的博客
				

				

					08-12
					
					588
					
				

			

		

		

			
				
为什么80%的码农都做不了架构师?>>> 
                                        
                ...

			
		

	





	

		

			

				
					
修改WordPress管理员用户

					
最新发布

				
			

			

				

					AIDigital的博客
				

				

					03-07
					
					362
					
				

			

		

		

			
				
登录后,找到WordPress网站对应的数据库下的wp_users表,wp是表前缀,这是自定义的,如果你在安装WordPress的时候设置了其他的前缀,那么这里会有一些不同,需要注意一下。关于插件使用这里就不多做赘述了,在WordPress后台,转到“插件”>“添加新”,搜索“Username Changer”或其他类似插件,安装并激活插件,按照插件的指引更改用户名即可,这个方法也比较适用于新手。如果对于数据库操作比较熟悉,那么可以通过数据库来修改用户名,不过这种方法有一定的风险,操作前请务必做好备份。

			
		

	



		

			
		



	

		

			

				
					
WordPress 使用wp-json/wp/v2/users/me修改密码出现“status“: 401

				
			

			

				

					让梦想疯狂
				

				

					05-06
					
					333
					
				

			

		

		

			
				
使用Postman请求API会设置Cookie,当密码被修改后Cookie失效,所以再次请求修改密码时,需要清除Cookie。WordPress REST API 使用。

			
		

	





	

		

			

				
					
干货 | 常见的API接口漏洞总结

				
			

			

				

					XMWS-IT
				

				

					07-24
					
					201
					
				

			

		

		

			
				
仍在开发中的 API 通常使用诸如 .如果您知道 API 现在正在使用 apiv3.org/admin 但 API 文档的一部分提到了 apiv1.org/admin,则可以尝试测试不同的端点以查看 apiv1 或 apiv2 是否仍处于活动状态。不幸的是,即使是善良的 API 使用者也会犯错误,从而导致应用程序受损。如果使用者可以在与其帐户相关的请求中包含其他参数(如帐户权限级别或敏感信息(如帐户余额),并且应用程序接受这些参数而不根据允许操作的白名单检查它们,则使用者可以利用此弱点来更改这些值。

			
		

	





	

		

			

				
					
WordPress-WP REST User插件之用户注册&找回密码

				
			

			

				

					AHeng的博客
				

				

					05-13
					
					620
					
				

			

		

		

			
				
安装WP REST User插件
1.在wordpress搜索WP REST User并启用

使用
1.用户注册
请求地址:
你的域名/wp-json/wp/v2/users/register例如:
http://wp.bili-bili.cn/wp-json/wp/v2/users/register
请求头:




key
value




Content-Type
application/json;charset=UTF-8


json参数:
{
    "username": "用户名",
 

			
		

	





	

		

			

				
					
Wordpress基本RestApi

				
			

			

				

					weixin_56527169的博客
				

				

					09-06
					
					501
					
				

			

		

		

			
				
WordPress的REST API允许您查询数据库表中的数据,其中包括文章、页面、用户、分类、标签等等。

			
		

	





	

		

			

				
					
WordPress在账号未登录时禁用wp-json/wp/v2/,防止泄露信息

				
			

			

				

					stwood007的博客
				

				

					10-09
					
					3246
					
				

			

		

		

			
				
否则可能抛出如下信息泄露信息了。



解决方法:

add_filter( 'rest_authentication_errors', function( $result ) {

if ( ! empty( $result ) ) {

return $result;

}

if ( ! is_user_logged_in() ) {

...

			
		

	





	

		

			

				
					
WordPress漏洞————4.7.0——4.7.1内容注入漏洞分析

				
			

			

				

					Fly_鹏程万里
				

				

					03-30
					
					3537
					
				

			

		

		

			
				
一、获取user 1.影响:未授权获取发布过文章的其他用户的用户名、id 2.触发前提: wordpress配置REST API 3.影响版本:&lt;= 4.7 4.漏洞说明: Get请求什么都不用做就可以避开wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php 的逻辑判断,返回ture,程序继续执行query,RES...

			
		

	





	

		

			

				
					
【分享】“Wordpress“ 在集简云平台集成应用的常见问题与解决方案

				
			

			

				

					weixin_49220773的博客
				

				

					09-06
					
					302
					
				

			

		

		

			
				
答:首先确认是否安装了插件,然后填写的账号密码是否正确,最后确定所填写的域名是否可用,使用   域名+/wp-json/wp/v2/users  在网页打开这个连接,如果返回结果如图可以正常访问网页。如果不能访问,需要客户自己解决域名的问题。可以查下自己Wordpress的插件是否与集简云的插件有冲突。

			
		

	





	

		

			

				
					
玩转代码|WordPress防止暴力破解管理员密码

				
			

			

				

					Jum的博客
				

				

					05-25
					
					1952
					
				

			

		

		

			
				
一、author页面地址

author页面地址为 http://yoursite/?author=1 ID是自增的
请求这个地址会 301 到一个url,这个url里包含了作者的用户名。虽然不算漏洞,还是给了爆破者很大的便利。

301指向的url : .../author/你的后台登录用户名

解决方案

1.在主题代码里实现,只要访问主页url后头有author参数就让他跳到主页

将下面的代码添加到当前主题的functions.php 文件:





			
		

	





	

		

			

				
					
防范wordpress主题加后门代码获取管理员权限

				
			

			

				

					09-29
				

			

		

		

			
				
只需几行代码就可以为WordPress主题留下后门,大家要小心了

			
		

	





	

		

			

				
					
wordpress不支持中文用户名的解决方法

				
			

			

				

					09-28
				

			

		

		

			
				
主要为大家介绍了wordpress不支持中文用户名的解决方法,可通过添加自定义函数实现支持中文用户名的功能,是非常实用的技巧,需要的朋友可以参考下

			
		

	





	

		

			

				
					
WordPress站点出现404错误时邮件通知管理员的方法

				
			

			

				

					09-28
				

			

		

		

			
				
主要为大家介绍了WordPress站点出现404错误时邮件通知管理员的方法,可实现出现404错误的情况下邮件通知管理员的功能,对网站优化很有帮助,需要的朋友可以参考下

			
		

	





	

		

			

				
					
wpscan常见的使用方法

				
			

			

				

					记录学习,一起进步
				

				

					02-16
					
					1969
					
				

			

		

		

			
				
wpscan常见的使用方法

			
		

	





	

		

			

				
					
WordPress移除head无用的标签和链接的方法

				
			

			

				

					程序人生
				

				

					12-09
					
					1347
					
				

			

		

		

			
				
在页面的头部输出了很多东西,但是这些标签很多是没用的或者有危害的,如:wp版本号、上下篇文章链接、以及其他一些meta元素;比如“generator” 元标记就会泄露Wordpress的版本号,如果你没用及时更新一个已经曝出有安全漏洞的版本,那黑客就能根据“generator”提供的版本号来攻击你的网站。在WordPress 3.0开始,即使你已经设定了永久链接,但是在文章页面标签内还是会出现一个shortlink标签,如果不想搜索引擎抓取 “/?p=” 的网址,那么head头部里短网址标签一并移除吧。

			
		

	





	

		

			

				
					
2022-UNCTF部分wp以及web的赛后复现学习

				
			

			

				

					BrosyveryOK的博客
				

				

					11-18
					
					3431
					
				

			

		

		

			
				
tcltcltcltcltcl,前路漫漫,继续努力。这次的web感觉都可以做,三道sql注入只出了一道,真的tcl,这个礼拜还是测试周,和比赛重了着实难受,隔壁的geek也还没做QAQ。下礼拜就猛做sql注入和源码泄露的整理!还是要多刷题多整理啊…

			
		

	





	

		

			

				
					
CTFHub-JSON Web Token-敏感信息泄露

				
			

			

				

					feng的博客
				

				

					09-09
					
					1273
					
				

			

		

		

			
				
前言
以前是没有接触过JWT的,直到几天前看了看DDCTF的Web签到题,发现是知识盲区,后来看了看WP,才知道好多东西自己都没有学过,因此特地学习学习。
关于JWT的基础知识,我觉得下面这个文章写的挺好的:
JSON Web Token 入门教程
知道了JWT的基础知识,我们便开始做CTFHub中关于JWT的相关题目。
WP
首先打开环境发现是要登录的,我们直接burp抓包来看一看:

在response里发现了token。我们直接对token的header和payload进行base64url解码,解码

			
		

	





	

		

			

				
					
wordpress忘记管理员密码

				
			

			

				

					09-10
				

			

		

		

			
				
如果你忘记了 WordPress 管理员密码,可以通过以下步骤重置密码:

1. 访问登录页面:在网址后面添加 /wp-admin,例如:www.example.com/wp-admin。
2. 点击 "忘记密码":在登录页面,点击 "忘记密码" 链接。
3. 提供用户名或电子邮件:输入 WordPress 管理员用户名或与其关联的电子邮件地址,并点击 "获取新密码"。
4. 检查电子邮件:WordPress 会向你提供的电子邮件地址发送一封包含密码重置链接的电子邮件。请检查你的邮箱(包括垃圾邮件文件夹)。
5. 重置密码:点击密码重置链接,进入重置密码的页面。
6. 设置新密码:输入新的密码,并确认。确保密码强度足够高,以确保账户安全。
7. 登录:使用新的密码登录你的 WordPress 管理员账户。

如果你没有收到重置密码的电子邮件或者上述步骤无法帮助你解决问题,你可以尝试以下两种方法:

1. 通过数据库重置密码:使用 phpMyAdmin 或其他数据库管理工具访问你的 WordPress 数据库。找到 `wp_users` 表并编辑管理员用户的行。将密码字段更改为新的加密密码(可以使用在线加密工具生成)。保存更改后,你可以使用新密码登录 WordPress 管理员账户。
2. 使用 FTP 重置密码:通过 FTP 访问你的 WordPress 网站文件。找到 `functions.php` 文件,并在文件末尾添加以下代码:

```
wp_set_password( 'new_password', 1 );
```

将 `new_password` 替换为你自定义的新密码。保存更改后,访问你的 WordPress 网站,在登录页面使用新密码登录。

请注意,这些方法都需要一定的技术知识和对你的 WordPress 网站的访问权限。如果你不确定如何操作或遇到问题,建议联系你的网站管理员或寻求专业帮助。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 6

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值