WordPress 安全第一步：防止用户名暴露

WordPress 用户名是 user_login，然后还有个 user_nicename，也可以说是 user 的 slug，最长 50 个字符。

默认情况下，在用户注册的时候，直接过滤掉 user_login 一些不适合在链接中生成的字符，然后全部转成小写字母生成 user_nicename。

用户名是怎么暴露的

因为默认情况下 WordPress 用户的 user_nicename 和 user_login 是一样的，这样只要通过下面三个方法猜测到 user_login，然后就可以暴力破解。

1. 作者的文章列表链接是：https://blog.wpjam.com/author/superdenis/，其中的 superdenis 是user_nicename。

2. 在 body 的 class 中，如果当前用户的作者页，也会出现用户的 user_nicename。

3. 和 comment 的 class 中，如果留言的用户也是当前站点的用户，也会出现用户的 user_nicename。

如何防止用户名暴露

1. 修改 user_nicename。

WordPress 后台没有提供修改的 user_nicename 的地方，「WPJAM 用户管理插件」已经实现了该功能。

2. user_login 不出现在作者的文章列表链接中

如果用户的 user_nicename 和 user_login 是一样的情况下：

作者文章链接使用 author_id 代替 user_nicename。

add_filter('author_link', function($link, $author_id, $author_nicename){
	$author	= get_userdata($author_id);
	
	if(sanitize_title($author->user_login) == $author_nicename){
		global $wp_rewrite;

		$link	= $wp_rewrite->get_author_permastruct();
		$link	= str_replace('%author%', $author_id, $link);
		$link	= home_url(user_trailingslashit($link));
	}
	
	return $link;
}, 10, 3);

原来的作者链接直接设置为 404 页面，防止用户名暴露。

add_action('pre_get_posts',  function($wp_query) {
	if($wp_query->is_main_query() && $wp_query->is_author()){
		if($author_name = $wp_query->get('author_name')){
			$author_name	= sanitize_title_for_query($author_name);
			$author			= get_user_by('slug', $author_name);

			if($author){
				if(sanitize_title($author->user_login) == $author->user_nicename){
					$wp_query->set_404();
				}
			}else{
				if(is_numeric($author_name)){
					$wp_query->set('author_name', '');
					$wp_query->set('author', $author_name);
				}
			}
		}
	}
});

3. user_login 不出现在 body_class 中

add_filter('body_class', function($classes){
	if(is_author()){
		global $wp_query;

		$author	= $wp_query->get_queried_object();

		if(sanitize_title($author->user_login) == $author->user_nicename){
			$author_class	= 'author-'.sanitize_html_class($author->user_nicename, $author->ID);
			$classes		= array_diff($classes, [$author_class]);
		}
	}
	return $classes;
});

4. user_login 不出现在 comment_class 中

add_filter('comment_class', function ($classes){
	foreach($classes as $key => $class) {
		if(strstr($class, 'comment-author-')){
			unset($classes[$key]);
		}
	}
	return $classes;
});

安全是最重要的，防止用户名暴露是 WordPress 最重要的一步，所以一定要重视。

WPJAM 用户管理插件已经集上面所有的功能和相关代码，直接启用即可，点击查看 WPJAM 用户管理插件的详细介绍。

专题：WordPress 安全：

本站长期承接 WordPress 优化和建站业务，请联系微信：「chenduopapa」。

WordPress 安全第一步：防止用户名暴露

用户名是怎么暴露的

如何防止用户名暴露

你可能也喜欢

WordPress 安全第二步：隐藏登录失败的「未知用户名」和「密码不正确」错误信息

WordPress 安全第三步：限制登录次数，防止暴力破解

WordPress 技巧：如何在让普通用户设置分类或标签关联

如何查看 WordPress 文章，页面和分类等的 ID

如何在 WordPress 文章编辑页面移除自定义分类编辑框

WordPress 技巧：从自定义文章类型菜单下移除自定义分类子菜单

如何在 WordPress 博客中插入哔哩哔哩视频

屏蔽 WordPress 小工具区块编辑器模式，切换回经典模式

WordPress 技巧：如何限制或取消自动清空回收站功能

WordPress 技巧：找到最顶层父页面的 ID

热门文章

WordPress 一键式全站优化插件：WPJAM-Basic

WordPress SEO 宝典：让你的博客流量增长10倍

使用 PHPMailer 发送邮件

Shortcode / 简码是什么？有什么用？一文详解 WordPress Shortcode。

PHP 和 MySQL Web 开发书籍推荐

WordPress 各种缓存插件介绍和应用

WordPress 主循环和全局变量

使用 phpMyAdmin 管理 WordPress 数据库

PHP 中如何正确统计中文字数

WordPress「CDN 加速」功能背后原理揭秘：对象存储的镜像回源功能详细介绍

WordPress 安全第一步：防止用户名暴露

用户名是怎么暴露的

如何防止用户名暴露

你可能也喜欢

WordPress 安全第二步：隐藏登录失败的「未知用户名」和「密码不正确」错误信息

WordPress 安全第三步：限制登录次数，防止暴力破解

WordPress 技巧：如何在让普通用户设置分类或标签关联

如何查看 WordPress 文章，页面和分类等的 ID

如何在 WordPress 文章编辑页面移除自定义分类编辑框

WordPress 技巧：从自定义文章类型菜单下移除自定义分类子菜单

如何在 WordPress 博客中插入哔哩哔哩视频

屏蔽 WordPress 小工具区块编辑器模式，切换回经典模式

WordPress 技巧：如何限制或取消自动清空回收站功能

WordPress 技巧：找到最顶层父页面的 ID

热门文章

WordPress 一键式全站优化插件：WPJAM-Basic

WordPress SEO 宝典：让你的博客流量增长10倍

使用 PHPMailer 发送邮件

Shortcode / 简码是什么？有什么用？一文详解 WordPress Shortcode。

PHP 和 MySQL Web 开发书籍推荐

WordPress 各种缓存插件介绍和应用

WordPress 主循环和全局变量

使用 phpMyAdmin 管理 WordPress 数据库

PHP 中如何正确统计中文字数

WordPress「CDN 加速」功能背后原理揭秘：对象存储的镜像回源功能详细介绍

WordPress 各种缓存插件介绍和应用