问题描述

我安装了插件简单的登录锁定,从几天前,数据库每天录制超过 200 条记录。

我认为不可能让我的网站受到这么多 IP 的攻击

你认为有什么问题吗?

最佳解决方案

目前有一个 botnet active, attacking WordPress and Joomla sites 。也许更多你应该看到更多的阻止登录。如果你不这样做,那可能是错误的。

但请注意,阻止 IP 地址无法帮助超过 90,000 个 IP 地址的机器人网络。如果你每个插件都是这样做的,那么避免限制登录尝试。它将 IP 存储在序列化选项中,每个请求都必须对其进行非串行化。这是非常昂贵和缓慢。找到一个使用单独数据库表的插件,或者阻止.htaccess 中的 IP 地址,如下所示:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

也可以看看:

我们的标签 security 也值得一看,特别是:

如果您已经移动了 wp-adminwp-login.php,那么这些 URL 仍然可以通过将/login/admin 附加到主 URL 来猜测。 WordPress 将把这些请求重定向到正确的位置。为了阻止这种行为,你可以使用一个非常简单的插件:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

我认为这是安全的晦涩 – 没有什么严重的。

次佳解决方案

除了 resources toscho listed 的答案外,您还可以使用 PHP’s Basic HTTP Authentication 来密码保护 wp-admin 和/或 wp-login.php 以阻止访问 wp-login.php 。

我只是 released a plugin,为您阻止 No-Referrer 请求。 (No-Refrrer 块目前不适用于安装在子目录中的网站) 。

参考文献

注:本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意,可以加入我们改善翻译效果:薇晓朵技术论坛。