wp 小网站装了个 Wordfence，发现安全问题真不容忽视。

2017-12-04 10:27:53 +08:00

sjwuny

几乎隔几分钟就有 robot 扫描你的登录页，尝试登陆。

俄冰雪王国，美的的攻击最对。

另外大家有好的解决方案么？保障网站安全。

7950 次点击

所在节点

云计算

48 条回复

yytsjq

2017-12-04 13:15:08 +08:00

@sjwuny 用 Authy 管理两步验证就不用翻了。而且还可以通过 auth_cookie_expiration 把登录有效期调长些。

sjwuny

2017-12-04 13:18:18 +08:00

@yytsjq 下次试试，最近才开始重视安全问题

xiaopc

2017-12-04 13:45:22 +08:00

以前是给 wp-login.php 加 HTTP Basic Auth，现在用两步验证(・・;

xenme

2017-12-04 13:49:23 +08:00

经常打补丁这些都无所谓。

LemonFlower

2017-12-04 14:05:03 +08:00

密码足够长，能猜对算我输 ╮(╯▽╰)╭

huaxing0211

2017-12-04 17:11:20 +08:00

wp-login.php?aaa=bbb，检测 aaa 的值不是 bbb，直接 301 重定向到一个网上测速的一个 1G 的文件……
然后看日志，好多 301 ……

yexiaoxing

2017-12-04 17:14:52 +08:00

Flask 做的网站，天天收到 wp-login.php...
直接 nginx 里返回超大 header 了

ivmm

2017-12-04 17:15:42 +08:00

@huaxing0211 这招够损

AifeiI

2017-12-04 17:15:49 +08:00

@huaxing0211 然而人家只是处理 200 的结果。。。

imnpc

2017-12-04 17:18:37 +08:00

硬件登陆验证基于 FIDO 的

huaxing0211

2017-12-04 17:29:09 +08:00

@AifeiI wp-login.php?aaa=bbb，检测 aaa 的值不是 bbb，return 404。

AifeiI

2017-12-04 17:37:00 +08:00

@huaxing0211 其实我意思是扫描器不会管你返回的非 200 状态码，它还是会来扫描你

misaka20038numbe

2017-12-04 17:41:38 +08:00

if IP != xxx echo 'error'; 对的，我的网站我自己都不能登录后台。

xxhjkl

2017-12-04 17:50:02 +08:00

@f2f2f #3 插件不错，已启用

zztt168

2017-12-04 18:51:35 +08:00

感谢推荐插件

iwillhappy1314

2017-12-04 18:52:29 +08:00

服务器是 Linux 的话，可以上 Fail2ban https://www.wpzhiku.com/shi-yong-fail2ban-fang-zhi-wordpress-bao-li-po-jie-hou-tai-deng-lu/

scriptB0y

2017-12-04 19:57:50 +08:00

吓得我改了密码

1password 不用插件，能猜得到算我输

scriptB0y

2017-12-04 19:59:40 +08:00

wordpress 竟然没有修改密码，只有生成新密码……

zingl

2017-12-04 21:12:51 +08:00

投诉 IP ABUSE

brokenQ

2017-12-04 23:34:32 +08:00

修改后台登陆地址设置长密码定期更改

第 2 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/411735

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.