wordpress有很多漏洞，其中有些是wordpress官方作，像是rest api，xmlrpc等等，不过只需要关闭就可以了，而这个高达500万安装的插件却有很愚蠢的漏洞：默认生成带有wp登陆用户名的sitemap，并且早在2018年就被知名的wordpress漏洞扫描工具wpscan收录为爆破漏洞，默认设置暴露作者信息，在归档内关闭作者信息似乎可以避免暴露信息。。 我自己使用wpscan扫了自己的站点，这个seo插件就直接在https://xxx.com/author-sitemap.xml下暴露了我word…