wordpress有很多漏洞,其中有些是wordpress官方作,像是rest api,xmlrpc等等,不过只需要关闭就可以了,而这个高达500万安装的插件却有很愚蠢的漏洞:默认生成带有wp登陆用户名的sitemap,并且早在2018年就被知名的wordpress漏洞扫描工具wpscan收录为爆破漏洞,默认设置暴露作者信息,在归档内关闭作者信息似乎可以避免暴露信息。。 我自己使用wpscan扫了自己的站点,这个seo插件就直接在https://xxx.com/author-sitemap.xml下暴露了我word…