Hallo Frank,
cool, dass du extra ein Plugin gemacht hast!
Ich hatte mir bisher geholfen, indem ich eine author.php für meine Themes angelegt habe, die einen wp_redirect enthalten. Dann hab ich aber zufällig in den Serverlogs gesehen, dass die id trotzdem aufgelöst wird und erst danach die Weiterleitung erfolgt. Im Browser sieht man das nicht, aber man kann ja nicht davon ausgehen, dass Angreifer einen normalen Browser verwenden, der nicht alle Http-requests anzeigt. Oder bekommt der Client am Ende gar nichts davon mit?
Fragt sich nur, ob der von dir verwendete Hook schon früh genug greift. Ich muss das später mal testen. Die Auflösung wird ja sicher an der Methode für mod rewrite im Kern liegen.
