wp 小网站装了个 Wordfence,发现安全问题真不容忽视。

2017-12-04 10:27:53 +08:00
 sjwuny
几乎隔几分钟就有 robot 扫描你的登录页,尝试登陆。

俄冰雪王国,美的的攻击最对。

另外大家有好的解决方案么?保障网站安全。
8091 次点击
所在节点    云计算
48 条回复
yytsjq
2017-12-04 13:15:08 +08:00
@sjwuny 用 Authy 管理两步验证就不用翻了。而且还可以通过 auth_cookie_expiration 把登录有效期调长些。
sjwuny
2017-12-04 13:18:18 +08:00
@yytsjq 下次试试,最近才开始重视安全问题
xiaopc
2017-12-04 13:45:22 +08:00
以前是给 wp-login.php 加 HTTP Basic Auth,现在用两步验证(・・;
xenme
2017-12-04 13:49:23 +08:00
经常打补丁这些都无所谓。
LemonFlower
2017-12-04 14:05:03 +08:00
密码足够长,能猜对算我输 ╮(╯▽╰)╭
huaxing0211
2017-12-04 17:11:20 +08:00
wp-login.php?aaa=bbb,检测 aaa 的值不是 bbb,直接 301 重定向到一个网上测速的一个 1G 的文件……
然后看日志,好多 301 ……
yexiaoxing
2017-12-04 17:14:52 +08:00
Flask 做的网站,天天收到 wp-login.php...
直接 nginx 里返回超大 header 了
ivmm
2017-12-04 17:15:42 +08:00
@huaxing0211 这招够损
AifeiI
2017-12-04 17:15:49 +08:00
@huaxing0211 然而人家只是处理 200 的结果。。。
imnpc
2017-12-04 17:18:37 +08:00
硬件登陆验证 基于 FIDO 的
huaxing0211
2017-12-04 17:29:09 +08:00
@AifeiI wp-login.php?aaa=bbb,检测 aaa 的值不是 bbb,return 404。
AifeiI
2017-12-04 17:37:00 +08:00
@huaxing0211 其实我意思是扫描器不会管你返回的非 200 状态码,它还是会来扫描你
misaka20038numbe
2017-12-04 17:41:38 +08:00
if IP != xxx echo 'error'; 对的,我的网站我自己都不能登录后台。
xxhjkl
2017-12-04 17:50:02 +08:00
@f2f2f #3 插件不错,已启用
zztt168
2017-12-04 18:51:35 +08:00
感谢推荐插件
iwillhappy1314
2017-12-04 18:52:29 +08:00
scriptB0y
2017-12-04 19:57:50 +08:00
吓得我改了密码

1password 不用插件,能猜得到算我输
scriptB0y
2017-12-04 19:59:40 +08:00
wordpress 竟然没有修改密码,只有生成新密码……
zingl
2017-12-04 21:12:51 +08:00
投诉 IP ABUSE
brokenQ
2017-12-04 23:34:32 +08:00
修改后台登陆地址 设置长密码 定期更改

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/411735

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX