問題描述

我安裝了插件簡單的登錄鎖定,從幾天前,數據庫每天錄製超過 200 條記錄。

我認為不可能讓我的網站受到這麼多 IP 的攻擊

你認為有什麼問題嗎?

最佳解決方案

目前有一個 botnet active, attacking WordPress and Joomla sites 。也許更多你應該看到更多的阻止登錄。如果你不這樣做,那可能是錯誤的。

但請注意,阻止 IP 地址無法幫助超過 90,000 個 IP 地址的機器人網絡。如果你每個插件都是這樣做的,那麼避免限制登錄嘗試。它將 IP 存儲在序列化選項中,每個請求都必須對其進行非串行化。這是非常昂貴和緩慢。找到一個使用單獨數據庫表的插件,或者阻止.htaccess 中的 IP 地址,如下所示:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

也可以看看:

我們的標籤 security 也值得一看,特別是:

如果您已經移動了 wp-adminwp-login.php,那麼這些 URL 仍然可以通過將/login/admin 附加到主 URL 來猜測。 WordPress 將把這些請求重定向到正確的位置。為了阻止這種行為,你可以使用一個非常簡單的插件:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

我認為這是安全的晦澀 – 沒有什麼嚴重的。

次佳解決方案

除了 resources toscho listed 的答案外,您還可以使用 PHP’s Basic HTTP Authentication 來密碼保護 wp-admin 和/或 wp-login.php 以阻止訪問 wp-login.php 。

我只是 released a plugin,為您阻止 No-Referrer 請求。 (No-Refrrer 塊目前不適用於安裝在子目錄中的網站) 。

參考文獻

注:本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意,可以加入我們改善翻譯效果:薇曉朵技術論壇。