wp 小网站装了个 Wordfence，发现安全问题真不容忽视。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Recommended Services

› Amazon Web Services

› LeanCloud

› New Relic

› ClearDB

这是一个创建于 2537 天前的主题，其中的信息可能已经有所发展或是发生改变。

几乎隔几分钟就有 robot 扫描你的登录页，尝试登陆。

俄冰雪王国，美的的攻击最对。

另外大家有好的解决方案么？保障网站安全。

登录页

wordfence

Robot

美的

48 条回复 • 2017-12-07 17:20:47 +08:00

Boyizmen

2017-12-04 10:30:40 +08:00

登录页加参数校验不通过就跳转首页

sjwuny

2017-12-04 10:44:47 +08:00

@Boyizmen 回头研究下这个，现在用 cloudfare 对登录页提高了安全等级

f2f2f

2017-12-04 10:48:43 +08:00

有个插件叫 WP Login Door，登陆页设置一个个性化参数，完美解决问题

litter123

2017-12-04 11:01:24 +08:00

直接在登录页开头加点料就好了，更何况我的密码随它扫，要是能扫到算我输

phy25

2017-12-04 11:05:15 +08:00 via Android

个人认为的 WordPress 必装插件：Limit Login Attempts

tSQghkfhTtQt9mtd

2017-12-04 11:07:17 +08:00 via Android

上了 reCAPTCHA，能猜算我输（

Patrick95

2017-12-04 11:12:57 +08:00

我用的是 Typecho，但每天都有大量请求尝试登录我的 wp-login.php

aksoft

2017-12-04 11:44:14 +08:00

从来不用验证码，限制错误次数，超过一次封 ip

ivmm

2017-12-04 11:53:57 +08:00

用两步验证，猜得对算我输

Xrong

2017-12-04 12:04:12 +08:00

太正常了，扫描器很多的。。。

malagebidi

2017-12-04 12:25:28 +08:00 via Android

Wordfence 扫木马和后门也不错，别问我为什么知道。😂

sjwuny

2017-12-04 12:49:09 +08:00

@aksoft 你自己输错了呢？

SimonDing

2017-12-04 12:53:58 +08:00 via Android

上静态网站，一劳永逸，让他们随便扫去吧

Arnie97

2017-12-04 12:58:21 +08:00 via Android

@Patrick95 对的，地图炮，不管我的网站是静态站、Python、Nodejs 或者其他别的语言实现，Error log 里排名第一永远是 /wp-login.php

sjwuny

2017-12-04 13:01:54 +08:00

@malagebidi 啥？

yingfengi

2017-12-04 13:02:39 +08:00 via Android

曾经，我的密码连我自己都记不住的说。。
随机生成的。。。

ashfinal

2017-12-04 13:03:15 +08:00

上静态博客 https://macplay.github.io/posts/30-fen-zhong-jian-li-yi-ge-nikola-bo-ke/

yytsjq

2017-12-04 13:05:43 +08:00

安装 Google Authenticator 实现两步验证

https://wordpress.org/plugins/google-authenticator/

sjwuny

2017-12-04 13:05:48 +08:00

@yingfengi 随机的密码安全性挺高，太复杂了(#^.^#)

sjwuny

2017-12-04 13:08:01 +08:00

@yytsjq 感觉这样每次都要扫码，翻越土牆，以后有必要再考虑哈。

yytsjq

2017-12-04 13:15:08 +08:00

@sjwuny 用 Authy 管理两步验证就不用翻了。而且还可以通过 auth_cookie_expiration 把登录有效期调长些。

sjwuny

2017-12-04 13:18:18 +08:00

@yytsjq 下次试试，最近才开始重视安全问题

xiaopc

2017-12-04 13:45:22 +08:00 via Android

以前是给 wp-login.php 加 HTTP Basic Auth，现在用两步验证(・・;

xenme

2017-12-04 13:49:23 +08:00

经常打补丁这些都无所谓。

LemonFlower

2017-12-04 14:05:03 +08:00 via iPhone

密码足够长，能猜对算我输 ╮(╯▽╰)╭

huaxing0211

2017-12-04 17:11:20 +08:00

wp-login.php?aaa=bbb，检测 aaa 的值不是 bbb，直接 301 重定向到一个网上测速的一个 1G 的文件……
然后看日志，好多 301 ……

yexiaoxing

2017-12-04 17:14:52 +08:00

Flask 做的网站，天天收到 wp-login.php...
直接 nginx 里返回超大 header 了

ivmm

2017-12-04 17:15:42 +08:00

@huaxing0211 这招够损

AifeiI

2017-12-04 17:15:49 +08:00

@huaxing0211 然而人家只是处理 200 的结果。。。

imnpc

2017-12-04 17:18:37 +08:00

硬件登陆验证基于 FIDO 的

huaxing0211

2017-12-04 17:29:09 +08:00

@AifeiI wp-login.php?aaa=bbb，检测 aaa 的值不是 bbb，return 404。

AifeiI

2017-12-04 17:37:00 +08:00

@huaxing0211 其实我意思是扫描器不会管你返回的非 200 状态码，它还是会来扫描你

misaka20038numbe

2017-12-04 17:41:38 +08:00

if IP != xxx echo 'error'; 对的，我的网站我自己都不能登录后台。

xxhjkl

2017-12-04 17:50:02 +08:00

@f2f2f #3 插件不错，已启用

zztt168

2017-12-04 18:51:35 +08:00

感谢推荐插件

scriptB0y

2017-12-04 19:57:50 +08:00

吓得我改了密码

1password 不用插件，能猜得到算我输

scriptB0y

2017-12-04 19:59:40 +08:00

wordpress 竟然没有修改密码，只有生成新密码……

zingl

2017-12-04 21:12:51 +08:00

投诉 IP ABUSE

brokenQ

2017-12-04 23:34:32 +08:00

修改后台登陆地址设置长密码定期更改

mozutaba

2017-12-04 23:46:07 +08:00

改地址，不过还有扫插件的，很烦。

pythlo

2017-12-04 23:47:26 +08:00

没人想过更改登陆页面么？譬如，改成不是 wp-login

onionnews

2017-12-04 23:58:18 +08:00 via Android

@pythlo 我在用类似插件+谷歌两步验证

sjwuny

2017-12-05 09:12:23 +08:00

@zingl 没用的，ip 那么多，不可能一个个都给投诉了

Damaidaner

2017-12-05 09:31:02 +08:00

@f2f2f 感谢推荐！

zhangneww

2017-12-05 10:15:33 +08:00

wp 用的人太多了，换了纯静态

loveminds

2017-12-05 15:50:34 +08:00

wp-login.php ？不存在的
想办法把它改成别的就好了

sjwuny

2017-12-07 17:20:47 +08:00

@loveminds 加了参数，直接访问 wp-login.php 跳转首页，机器人直接封了 ip