wordpress有很多漏洞,其中有些是wordpress官方作,像是rest api,xmlrpc等等,不过只需要关闭就可以了,而这个高达500万安装的插件却有很愚蠢的漏洞:默认生成带有wp登陆用户名的sitemap,并且早在2018年就被知名的wordpress漏洞扫描工具wpscan收录为爆破漏洞,默认设置暴露作者信息,在归档内关闭作者信息似乎可以避免暴露信息。。
我自己使用wpscan扫了自己的站点,这个seo插件就直接在https://xxx.com/author-sitemap.xml下暴露了我wordpress的登陆用户名,安全防护做的再认真,来个内鬼直接拉胯。
要使用必须关闭作者信息显示。
防止wpscan最直接的办法是在cloudflare的waf里面阻止wpscan,但并不推荐,因为这个工具也是帮助我们发现漏洞的一个简单工具,合理利用也能用来保护站点,当然在排除一些重要隐患之后,禁用也是不错的选择。
