2015 年最大的愿望就是 wordpress 的 BUG 赶紧修复了吧...

什么bug？难道你也发现了？我还以为我自己一个人发现了漏洞

@kmvan 我现在每天都要用很多时间处理服务器的安全问题.就因为WP...唉

@qiuai 我现在每天都要用很多时间处理服务器的安全问题.就因为WP...唉
报给官方吧，他们会很快解决的。如果是比较严重的bug，第二天就有修正版了

每天都处理一堆安全问题？wordpress 安全性bug有多成这样？确定不是服务器或其他地方有漏口？

是 WP 本身还是插件的 bug? 举个例子来看看

什么bug 求教

什么Bug快快放出我来修复.

@kmvan
@anewg
@sumhat
@diartyz
@lvfujun

我说的是WP-LOGIN.PHP F5的问题.和现在一直没修复的爆破问题.

@qiuai F5 不能算是安全问题，爆破问题可以用插件解决，比如两步验证。

@sumhat 都无法解决对系统的巨大压力

@qiuai wp-login.php？什么问题？一直刷新带来的负载？
你可以试试 http://kn007.net/wp-login.php
直接访问是无用的，必须特定才可以，禁用了找回密码等。

@kn007 现在早就改成尝试密码了.我这经常一个报警就已经检测了2W次...

@qiuai 我晕，这么多

@kn007

IP 5.196.5.116 has 24822 failed login attempts: wordpress2=24822

只是随便翻了几条日志,就有这么一条...

现在真的是每天都有几十万条的攻击.全是从国外过来的...我都想直接屏蔽掉这些地区的所有IP,又怕影响客户...做虚拟主机累啊...

@qiuai 你还做虚拟主机？我以为你只是vnet.link，话说延迟很大啊，经常timeout（测试的时候提示none of the name servers responded in a timely manner）尝试密码的话，用REFERER或fail2ban试试？

@kn007 我转给技术让他看看.

@qiuai http://kn007.net/topics/wordpress-how-to-protect-the-wp-login-php-and-wp-cron-php/
我新弄的办法。感觉可以

@kn007 麻烦的就是虚拟主机是apache的..而且也没有什么全局的解决方案.现在是检测WP-LOGIN的频率,超过一个阈值就直接杀掉IP.

@qiuai 我的是站不多，全部都做了同样的保护。
确实，如果是客户的，那就麻烦一点。
对于小白，他肯定是简单就好

@kn007 是的.现在的很多客户都只管写文章,不管别的...昨天发现一个客户的站被黑了,好像被人传了个php的代理程序...结果一问根本不知道...都不知道装了多久了...

@qiuai 诶。。。这个只能再想想了

@qiuai hi，请教个问题，不知到你遇过没有？
一个朋友遇到攻击，攻击者对/?p=random /?s=random_string一直请求，ip属于伪造，ua也是伪造的，各种随机。
然后mysql就过载了，导致php过载，然后就502了。。。不知又什么idea没有？

我现在在研究一个static page方案。
第二个方案伪静态到html，交给nginx。但对于404的结果，php也是消耗资源啊。暂无想法解决，还在想。

@kn007 一个是对mysql的查询结果进行缓存.比如说hypercache.
然后就是调整PHP的配置文件,看能不能调整一下.

说实话,这个是没什么好的解决方案的,都是拿性能去顶.或者就放给他烂...

@qiuai 搜索还能通过外部搜索，禁用wordpress搜索。但对?p=就完全无解。任意一款插件都试了。。。。。。性能跟不上并发数啊。。。头晕

@kn007 你可以用防CC的方式来解决你的问题...

@qiuai 怎么防？求教下？
没有重复ip，一个请求一个ip。

@kn007 把流量导入到一个不会发起mysql请求的地方.来清洗一下.比如说在页面上放个按钮让访客去点.
或者加载完成后,等几秒再跳转什么的...

@qiuai 我也有这个想法。。具体实施没弄过，正在实验