V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
sjwuny
V2EX  ›  云计算

wp 小网站装了个 Wordfence,发现安全问题真不容忽视。

  •  
  •   sjwuny · 2017-12-04 10:27:53 +08:00 · 8121 次点击
    这是一个创建于 2571 天前的主题,其中的信息可能已经有所发展或是发生改变。
    几乎隔几分钟就有 robot 扫描你的登录页,尝试登陆。

    俄冰雪王国,美的的攻击最对。

    另外大家有好的解决方案么?保障网站安全。
    48 条回复    2017-12-07 17:20:47 +08:00
    Boyizmen
        1
    Boyizmen  
       2017-12-04 10:30:40 +08:00
    登录页加参数校验不通过就跳转首页
    sjwuny
        2
    sjwuny  
    OP
       2017-12-04 10:44:47 +08:00
    @Boyizmen 回头研究下这个,现在用 cloudfare 对登录页提高了安全等级
    f2f2f
        3
    f2f2f  
       2017-12-04 10:48:43 +08:00   ❤️ 1
    有个插件叫 WP Login Door,登陆页设置一个个性化参数,完美解决问题
    litter123
        4
    litter123  
       2017-12-04 11:01:24 +08:00
    直接在登录页开头加点料就好了,更何况我的密码随它扫,要是能扫到算我输
    phy25
        5
    phy25  
       2017-12-04 11:05:15 +08:00 via Android
    个人认为的 WordPress 必装插件:Limit Login Attempts
    tSQghkfhTtQt9mtd
        6
    tSQghkfhTtQt9mtd  
       2017-12-04 11:07:17 +08:00 via Android
    上了 reCAPTCHA,能猜算我输(
    Patrick95
        7
    Patrick95  
       2017-12-04 11:12:57 +08:00   ❤️ 1
    我用的是 Typecho,但每天都有大量请求尝试登录我的 wp-login.php
    aksoft
        8
    aksoft  
       2017-12-04 11:44:14 +08:00
    从来不用验证码,限制错误次数,超过一次 封 ip
    ivmm
        9
    ivmm  
       2017-12-04 11:53:57 +08:00
    用两步验证,猜得对算我输
    Xrong
        10
    Xrong  
       2017-12-04 12:04:12 +08:00
    太正常了,扫描器很多的。。。
    malagebidi
        11
    malagebidi  
       2017-12-04 12:25:28 +08:00 via Android
    Wordfence 扫木马和后门也不错,别问我为什么知道。😂
    sjwuny
        12
    sjwuny  
    OP
       2017-12-04 12:49:09 +08:00
    @aksoft 你自己输错了呢?
    SimonDing
        13
    SimonDing  
       2017-12-04 12:53:58 +08:00 via Android
    上静态网站,一劳永逸,让他们随便扫去吧
    Arnie97
        14
    Arnie97  
       2017-12-04 12:58:21 +08:00 via Android   ❤️ 1
    @Patrick95 对的,地图炮,不管我的网站是静态站、Python、Nodejs 或者其他别的语言实现,Error log 里排名第一永远是 /wp-login.php
    sjwuny
        15
    sjwuny  
    OP
       2017-12-04 13:01:54 +08:00
    @malagebidi 啥?
    yingfengi
        16
    yingfengi  
       2017-12-04 13:02:39 +08:00 via Android
    曾经,我的密码连我自己都记不住的说。。
    随机生成的。。。
    ashfinal
        17
    ashfinal  
       2017-12-04 13:03:15 +08:00
    yytsjq
        18
    yytsjq  
       2017-12-04 13:05:43 +08:00
    安装 Google Authenticator 实现两步验证

    https://wordpress.org/plugins/google-authenticator/
    sjwuny
        19
    sjwuny  
    OP
       2017-12-04 13:05:48 +08:00
    @yingfengi 随机的密码安全性挺高,太复杂了(#^.^#)
    sjwuny
        20
    sjwuny  
    OP
       2017-12-04 13:08:01 +08:00
    @yytsjq 感觉这样每次都要扫码,翻越土牆,以后有必要再考虑哈。
    yytsjq
        21
    yytsjq  
       2017-12-04 13:15:08 +08:00
    @sjwuny 用 Authy 管理两步验证就不用翻了。而且还可以通过 auth_cookie_expiration 把登录有效期调长些。
    sjwuny
        22
    sjwuny  
    OP
       2017-12-04 13:18:18 +08:00
    @yytsjq 下次试试,最近才开始重视安全问题
    xiaopc
        23
    xiaopc  
       2017-12-04 13:45:22 +08:00 via Android
    以前是给 wp-login.php 加 HTTP Basic Auth,现在用两步验证(・・;
    xenme
        24
    xenme  
       2017-12-04 13:49:23 +08:00
    经常打补丁这些都无所谓。
    LemonFlower
        25
    LemonFlower  
       2017-12-04 14:05:03 +08:00 via iPhone
    密码足够长,能猜对算我输 ╮(╯▽╰)╭
    huaxing0211
        26
    huaxing0211  
       2017-12-04 17:11:20 +08:00   ❤️ 1
    wp-login.php?aaa=bbb,检测 aaa 的值不是 bbb,直接 301 重定向到一个网上测速的一个 1G 的文件……
    然后看日志,好多 301 ……
    yexiaoxing
        27
    yexiaoxing  
       2017-12-04 17:14:52 +08:00
    Flask 做的网站,天天收到 wp-login.php...
    直接 nginx 里返回超大 header 了
    ivmm
        28
    ivmm  
       2017-12-04 17:15:42 +08:00
    @huaxing0211 这招够损
    AifeiI
        29
    AifeiI  
       2017-12-04 17:15:49 +08:00
    @huaxing0211 然而人家只是处理 200 的结果。。。
    imnpc
        30
    imnpc  
       2017-12-04 17:18:37 +08:00
    硬件登陆验证 基于 FIDO 的
    huaxing0211
        31
    huaxing0211  
       2017-12-04 17:29:09 +08:00
    @AifeiI wp-login.php?aaa=bbb,检测 aaa 的值不是 bbb,return 404。
    AifeiI
        32
    AifeiI  
       2017-12-04 17:37:00 +08:00
    @huaxing0211 其实我意思是扫描器不会管你返回的非 200 状态码,它还是会来扫描你
    misaka20038numbe
        33
    misaka20038numbe  
       2017-12-04 17:41:38 +08:00
    if IP != xxx echo 'error'; 对的,我的网站我自己都不能登录后台。
    xxhjkl
        34
    xxhjkl  
       2017-12-04 17:50:02 +08:00
    @f2f2f #3 插件不错,已启用
    zztt168
        35
    zztt168  
       2017-12-04 18:51:35 +08:00
    感谢推荐插件
    scriptB0y
        37
    scriptB0y  
       2017-12-04 19:57:50 +08:00
    吓得我改了密码

    1password 不用插件,能猜得到算我输
    scriptB0y
        38
    scriptB0y  
       2017-12-04 19:59:40 +08:00
    wordpress 竟然没有修改密码,只有生成新密码……
    zingl
        39
    zingl  
       2017-12-04 21:12:51 +08:00
    投诉 IP ABUSE
    brokenQ
        40
    brokenQ  
       2017-12-04 23:34:32 +08:00
    修改后台登陆地址 设置长密码 定期更改
    mozutaba
        41
    mozutaba  
       2017-12-04 23:46:07 +08:00
    改地址,不过还有扫插件的,很烦。
    pythlo
        42
    pythlo  
       2017-12-04 23:47:26 +08:00
    没人想过更改登陆页面么?譬如,改成不是 wp-login
    onionnews
        43
    onionnews  
       2017-12-04 23:58:18 +08:00 via Android
    @pythlo 我在用类似插件+谷歌两步验证
    sjwuny
        44
    sjwuny  
    OP
       2017-12-05 09:12:23 +08:00
    @zingl 没用的,ip 那么多,不可能一个个都给投诉了
    Damaidaner
        45
    Damaidaner  
       2017-12-05 09:31:02 +08:00
    @f2f2f 感谢推荐!
    zhangneww
        46
    zhangneww  
       2017-12-05 10:15:33 +08:00
    wp 用的人太多了,换了纯静态
    loveminds
        47
    loveminds  
       2017-12-05 15:50:34 +08:00
    wp-login.php ?不存在的
    想办法把它改成别的就好了
    sjwuny
        48
    sjwuny  
    OP
       2017-12-07 17:20:47 +08:00
    @loveminds 加了参数,直接访问 wp-login.php 跳转首页,机器人直接封了 ip
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3174 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:52 · PVG 20:52 · LAX 04:52 · JFK 07:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.