攻击者是这样拿到WordPress管理员用户名的 附带防御方法

http://你的域名/wp-json/wp/v2/users/

我刚刚在各位MJJ的签名站点测试了一下。

约90% 的站点都可以看到管理员用户名

虽然作用不大。但是敏感信息的爆漏还是不太爽

解决方法：

// 在账号未登录时禁用wp-json/wp/v2/，防止泄露信息
add_filter( 'rest_authentication_errors', function( $result ) {
    if ( ! empty( $result ) ) {
        return $result;
    }
    if ( ! is_user_logged_in() ) {
        return new WP_Error( 'Access denied', 'You have no permission to handle it.', array( 'status' => 401 ) );
    }
    return $result;
});