最近把日志文件和云服务连接了一下,看日志的时候发现了这个现象:绝大多数针对 WordPress 的密码破解肉机在试图破解我的密码时,都是把 POST 请求发在了 HTTP 的页面,这个页面会被重定向到 HTTPS 版本,于是跳转了之后 POST 变 GET ,破解直接就无效了。
所以启动 HTTPS 之后,相当于能过滤掉大多数这些破解密码的 Bot ,这算是 HTTPS 的另一个好处吧。
截图(预警:使用的是竖屏 “ 8K ” 显示器一次截成)
xmlrpc ,全是 bot 破解
wp-login 登陆日志也一样是这种情况,因为包含了我自己的登陆,就没发
顺便吐槽一下微博的图床,我这图片 TinyPNG 压缩完就 1.4M ,传到微博图床上被转成了 JPEG 格式,约 10M ……
 |
1
xenme Jan 27, 2017 via iPhone
我都在前台加个字段,这种机器人直接回 200 ,让他以为成功了
|
 |
2
Phant0m Jan 27, 2017 via iPhone
截图的是什么系统?
|
 |
3
jybox Jan 27, 2017  1
其实这应该算是 HTTP 302 重定向的坑,应该使用 307 (或 303 )代替 302 。
见 https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/307 |
 |
4
ZE3kr OP |
 |
5
300 Jan 27, 2017
wordpress 可以改后台地址的啊=。=
|
|
6
ZE3kr OP @winterbells 不想改,改地址我觉得只能算是一种 hack 的方式去解决,正常的解决方式是限制密码重试次数或者 ip 白名单等。 xmlrpc 如果改了的话会影响客户端使用。
|
 |
7
ivmm Jan 27, 2017
有两步验证,让他猜去吧
|
 |
8
AsherG Jan 27, 2017 via Android
静态博客就是好😂
|
 |
9
ys0290 Jan 28, 2017 via iPhone
改了登录地址
|
 |
10
Zohar Jan 28, 2017 via Android
|
 |
11
bfanr Jan 28, 2017 via Android
@Zohar 人心叵测啊,基本的信任呢。我点开没几秒没等我反应过来联通 4G 就跑了两百兆,大过年的不给我发红包就算了,还让我接着花钱订流量包😂
|
 |
13
laukwanchan Jan 28, 2017 via iPhone
@bfanr 笑出声(逃
|
 |
16
Technetiumer Jan 28, 2017
而 typecho 配置一下就可以改地址,我认为不改地址才是不正常的,后台地址不应当公开。
|
 |
17
techmoe Jan 28, 2017 via Android
好老套的 bot
|
 |
18
Kaiyuan Jan 29, 2017
@Zohar 原来还可以这样啊,我弄了个 1G 的... 判断到是 Bot 访问 wp-login.php 和 xmlrpc.php 就 301 到网上找到的 Download Test File 。
|
 |
20
wkl17 Jun 3, 2017
图裂了啊,v2ex 用的也是外链?
|
Select Language