Home Sign Up Sign In
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
sjwuny
V2EX  ›  云计算

wp 小网站装了个 Wordfence,发现安全问题真不容忽视。

  •   
  •   sjwuny · Dec 4, 2017 · 8888 views
    This topic created in 3107 days ago, the information mentioned may be changed or developed.
    几乎隔几分钟就有 robot 扫描你的登录页,尝试登陆。

    俄冰雪王国,美的的攻击最对。

    另外大家有好的解决方案么?保障网站安全。
  • 登录页
  • wordfence
  • Robot
  • 美的
    48 replies    2017-12-07 17:20:47 +08:00
    Boyizmen
        1
    Boyizmen  
       Dec 4, 2017
    登录页加参数校验不通过就跳转首页
    sjwuny
        2
    sjwuny  
    OP
       Dec 4, 2017
    @Boyizmen 回头研究下这个,现在用 cloudfare 对登录页提高了安全等级
    f2f2f
        3
    f2f2f  
       Dec 4, 2017   ❤️ 1
    有个插件叫 WP Login Door,登陆页设置一个个性化参数,完美解决问题
    litter123
        4
    litter123  
       Dec 4, 2017
    直接在登录页开头加点料就好了,更何况我的密码随它扫,要是能扫到算我输
    phy25
        5
    phy25  
       Dec 4, 2017 via Android
    个人认为的 WordPress 必装插件:Limit Login Attempts
    tSQghkfhTtQt9mtd
        6
    tSQghkfhTtQt9mtd  
       Dec 4, 2017 via Android
    上了 reCAPTCHA,能猜算我输(
    Patrick95
        7
    Patrick95  
       Dec 4, 2017   ❤️ 1
    我用的是 Typecho,但每天都有大量请求尝试登录我的 wp-login.php
    aksoft
        8
    aksoft  
       Dec 4, 2017
    从来不用验证码,限制错误次数,超过一次 封 ip
    ivmm
        9
    ivmm  
       Dec 4, 2017
    用两步验证,猜得对算我输
    Xrong
        10
    Xrong  
       Dec 4, 2017
    太正常了,扫描器很多的。。。
    malagebidi
        11
    malagebidi  
       Dec 4, 2017 via Android
    Wordfence 扫木马和后门也不错,别问我为什么知道。😂
    sjwuny
        12
    sjwuny  
    OP
       Dec 4, 2017
    @aksoft 你自己输错了呢?
    SimonDing
        13
    SimonDing  
       Dec 4, 2017 via Android
    上静态网站,一劳永逸,让他们随便扫去吧
    Arnie97
        14
    Arnie97  
       Dec 4, 2017 via Android   ❤️ 1
    @Patrick95 对的,地图炮,不管我的网站是静态站、Python、Nodejs 或者其他别的语言实现,Error log 里排名第一永远是 /wp-login.php
    sjwuny
        15
    sjwuny  
    OP
       Dec 4, 2017
    @malagebidi 啥?
    yingfengi
        16
    yingfengi  
       Dec 4, 2017 via Android
    曾经,我的密码连我自己都记不住的说。。
    随机生成的。。。
    yytsjq
        18
    yytsjq  
       Dec 4, 2017
    安装 Google Authenticator 实现两步验证

    https://wordpress.org/plugins/google-authenticator/
    sjwuny
        19
    sjwuny  
    OP
       Dec 4, 2017
    @yingfengi 随机的密码安全性挺高,太复杂了(#^.^#)
    sjwuny
        20
    sjwuny  
    OP
       Dec 4, 2017
    @yytsjq 感觉这样每次都要扫码,翻越土牆,以后有必要再考虑哈。
    yytsjq
        21
    yytsjq  
       Dec 4, 2017
    @sjwuny 用 Authy 管理两步验证就不用翻了。而且还可以通过 auth_cookie_expiration 把登录有效期调长些。
    sjwuny
        22
    sjwuny  
    OP
       Dec 4, 2017
    @yytsjq 下次试试,最近才开始重视安全问题
    xiaopc
        23
    xiaopc  
       Dec 4, 2017 via Android
    以前是给 wp-login.php 加 HTTP Basic Auth,现在用两步验证(・・;
    xenme
        24
    xenme  
       Dec 4, 2017
    经常打补丁这些都无所谓。
    LemonFlower
        25
    LemonFlower  
       Dec 4, 2017 via iPhone
    密码足够长,能猜对算我输 ╮(╯▽╰)╭
    handwork
        26
    handwork  
       Dec 4, 2017   ❤️ 1
    wp-login.php?aaa=bbb,检测 aaa 的值不是 bbb,直接 301 重定向到一个网上测速的一个 1G 的文件……
    然后看日志,好多 301 ……
    yexiaoxing
        27
    yexiaoxing  
       Dec 4, 2017
    Flask 做的网站,天天收到 wp-login.php...
    直接 nginx 里返回超大 header 了
    ivmm
        28
    ivmm  
       Dec 4, 2017
    @huaxing0211 这招够损
    AifeiI
        29
    AifeiI  
       Dec 4, 2017
    @huaxing0211 然而人家只是处理 200 的结果。。。
    imnpc
        30
    imnpc  
       Dec 4, 2017
    硬件登陆验证 基于 FIDO 的
    handwork
        31
    handwork  
       Dec 4, 2017
    @AifeiI wp-login.php?aaa=bbb,检测 aaa 的值不是 bbb,return 404。
    AifeiI
        32
    AifeiI  
       Dec 4, 2017
    @huaxing0211 其实我意思是扫描器不会管你返回的非 200 状态码,它还是会来扫描你
    misaka20038numbe
        33
    misaka20038numbe  
       Dec 4, 2017
    if IP != xxx echo 'error'; 对的,我的网站我自己都不能登录后台。
    xxhjkl
        34
    xxhjkl  
       Dec 4, 2017
    @f2f2f #3 插件不错,已启用
    zztt168
        35
    zztt168  
       Dec 4, 2017
    感谢推荐插件
    scriptB0y
        37
    scriptB0y  
       Dec 4, 2017
    吓得我改了密码

    1password 不用插件,能猜得到算我输
    scriptB0y
        38
    scriptB0y  
       Dec 4, 2017
    wordpress 竟然没有修改密码,只有生成新密码……
    zingl
        39
    zingl  
       Dec 4, 2017
    投诉 IP ABUSE
    brokenQ
        40
    brokenQ  
       Dec 4, 2017
    修改后台登陆地址 设置长密码 定期更改
    mozutaba
        41
    mozutaba  
       Dec 4, 2017
    改地址,不过还有扫插件的,很烦。
    pythlo
        42
    pythlo  
       Dec 4, 2017
    没人想过更改登陆页面么?譬如,改成不是 wp-login
    cname
        43
    cname  
       Dec 4, 2017 via Android
    @pythlo 我在用类似插件+谷歌两步验证
    sjwuny
        44
    sjwuny  
    OP
       Dec 5, 2017
    @zingl 没用的,ip 那么多,不可能一个个都给投诉了
    Damaidaner
        45
    Damaidaner  
       Dec 5, 2017
    @f2f2f 感谢推荐!
    zhangneww
        46
    zhangneww  
       Dec 5, 2017
    wp 用的人太多了,换了纯静态
    loveminds
        47
    loveminds  
       Dec 5, 2017
    wp-login.php ?不存在的
    想办法把它改成别的就好了
    sjwuny
        48
    sjwuny  
    OP
       Dec 7, 2017
    @loveminds 加了参数,直接访问 wp-login.php 跳转首页,机器人直接封了 ip
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2059 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 99ms · UTC 16:12 · PVG 00:12 · LAX 09:12 · JFK 12:12
    ♥ Do have faith in what you're doing.