我也注意到了这一点，并在不久前写了一篇关于它的博客文章：wordpress username leak。总结一下：

泄漏可能在这里：example.com/author/user_nicename. 例如，可以通过 访问此页面example.com/?author=1。

WordPress 在数据库中有三个与用户名相关的字段：username、nickname和user_nicename。

username是您登录时使用nickname的名称，是应该显示的名称，并且是在作者链接中使用user_nicename的 slug 版本。username

要解决此问题，您可以在数据库中设置user_nicename为。nickname

我遇到了同样的问题，并使用以下 htaccess 阻止了作者扫描的请求：

# Stop Author Scanning
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]

最近我发现了不同的用户名泄漏路径。

默认情况下，酵母 SEO 插件author-sitemap.xml提供作者列表。可以在 Search Appereances -> Archives 中关闭此行为。

默认情况下，WordPress 用户名无论如何都不是秘密。正如其他答案指出的那样，有很多方法可以通过 URL 甚至在页面本身的内容（作者类名）中查找用户名。

隐藏用户名和/或对抗暴力攻击的方法有很多，但对您的问题的简单回答是，除非您竭尽全力阻止用户名可见，否则 WordPress 的默认设置是用户名不保密并且很容易看到。