怎样防止 wordpress 登录页面被 post 提交暴力破解？

This topic created in 4334 days ago, the information mentioned may be changed or developed.

在后台看到大量ip不停post提交wp-login.php，试图猜测管理员密码。虽然我的密码足够长和复杂，但是这样大规模的提交行为，应该会占用不少CPU吧？请问怎样阻止这种行为呢？

不想使用网上教程中改变wp-login.php路径之类的方法，那给用户名，密码输入框以及登录按钮都加上disabled="disabled"管用吗？嗯，就是直接不能输入和点击。

提交

密码

11 replies • 2014-07-30 13:55:43 +08:00

yangqi

Jul 30, 2014

搜一搜一堆插件, 或者服务器上fail2ban也可以

lanceli

Jul 30, 2014

iThemes Security (formerly Better WP Security)

https://wordpress.org/plugins/better-wp-security/

GASALA

Jul 30, 2014

@yangqi 大多数插件都是只能禁用ip之类的，但是对于那种不停更换ip的骚扰者，还是会导致系统资源占用。我是想要完全阻止wp-login页面的post提交行为，任何人都不能通过wp-login页面登录。

GASALA

Jul 30, 2014

@lanceli 这种太过于复杂的插件，不是很敢使用啊。

io565

Jul 30, 2014 via iPhone

rename wp-login.php plugin

Pete

Jul 30, 2014

完全禁止你自己想怎么登录 =A=

jsonline

Jul 30, 2014 via Android

验证码呀

jasontse

Jul 30, 2014 via iPad

完全禁止把 wp-login.php 删掉算了。

xenme

Jul 30, 2014

最简单的就是改路径，垃圾评论，暴力破解这种都可以阻止。
如果不想改登录，别人暴力post，你也没有办法避免CPU/带宽消耗的，最多只能让对方无法破解成功而已。
我一般是加个JS到表单上，动态修改提交地址。一般人为输入的话，会有鼠标事件，修改到正确的地址。机器人一般都是直接提取表单action，然后提交。所以可以一定程度避免机器人骚扰。
要是有人专门来搞的话，动态JS没有用。只能后台改下暂时改下路径，如果WP还提供普通用户登录的话，只能任由对方尝试了，不断的ban他IP就好了。

ghy459

Jul 30, 2014

加一个Google的两步认证

sujin190

Jul 30, 2014

在nginx或者apache禁止对这个url的访问呗，或者只允许特定ip访问