我安装了插件Simple Login Lockdown,自几天前以来,该数据库每天记录的记录超过200条。 IP的

您认为有什么问题吗?

评论

当然有可能。您知道那些点击所有内容而没有真正关注点击内容的人吗?怪他们。
你们知道如何将自己列入白名单吗?我对该插件进行了过度测试,以防出现以下情况:“访问被拒绝。您的IP地址[我的IP]已列入黑名单。如果您认为这是错误的,请联系您的托管服务提供商滥用部门。”自述文件讲述了一些内容,但我不知道如何正确应用修改以及在何处进行。要编辑哪个文件?

#1 楼

当前有一个活跃的僵尸网络,正在攻击WordPress和Joomla网站。可能还有更多。您应该会看到更多被阻止的登录信息。如果您不这样做,可能是出了点问题。每个插件都可以避免“限制登录尝试次数”。它将IP存储在一个序列化选项中,该序列化选项必须针对每个请求进行不序列化。这非常昂贵且缓慢。
找到一个使用单独数据库表的插件或按以下方式阻止.htaccess中的IP地址:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all


请参阅还:


Codex:蛮力攻击

Ipstenu(Mika Epstein)使用.htaccess进行登录保护

自定义WordPress ModSecurity规则作者:Liquid Web

保护WordPress的蛮力攻击Sucuri Blog,也:大规模WordPress蛮力攻击? –带有有趣统计信息的神话或现实

如何使用HostGator密码保护wp-login.php文件

我们的标签安全性也值得一看,尤其是:


是否已验证我已完全删除WordPress黑客? />
如果您移动了wp-adminwp-login.php,则仍可以通过将/login/admin附加到主URL来猜测这些URL。 WordPress会将这些请求重定向到正确的位置。
要停止该行为,您可以使用一个非常简单的插件:

–没什么严重的。

评论

我有无数个网站,几天内成千上万个,它是完全自动化的

– Tom J Nowell♦
13年4月12日在13:46
我们在WordPress网站上也看到锁定明显增加,请加入@Minapoli俱乐部。

–安德鲁·巴特尔(Andrew Bartel)
13年4月12日在18:23
我使用并喜欢“限制登录尝试次数”,但是在这种情况下,它不会完全有用,因为僵尸网络似乎足够精明,只能尝试使用任何给定的IP地址进行少量尝试。因此,它有效地避免了因重复登录失败而导致的每IP锁定。

–芯片Bennett
13年4月12日在18:24
@Chip Bennett似乎只在我们的网站上尝试“ aaa”,“ administrator”和“ admin”,您是否看到其他用户名被当作目标?

–安德鲁·巴特尔(Andrew Bartel)
13年4月12日在18:33
@RRikesh不确定。通常,siteurl / login重定向到正确的登录页面。

– fuxia♦
13年4月13日在14:50

#2 楼

除了他的答案中列出的资源toscho之外,您还可以使用PHP的基本HTTP身份验证来密码保护wp-admin和/或wp-login.php以阻止对wp-login.php的访问。我刚刚发布了一个插件,该插件可以阻止No-Referrer请求。 (No-Refrrer块当前不适用于子目录中安装的站点。)

评论

请注意,这将锁定使用按(Fast-)CGI运行的PHP的用户。

– fuxia♦
13年4月15日在10:30
感谢那!它可以在PHP-FPM上运行,但是经过搜索后,我发现当php运行CGI / SuExec时它将不起作用,我将不得不进行快速更新以停用该环境中的插件。

– Chris_O
13年4月15日在20:32


#3 楼

您可以通过以下方法保护WordPress管理员。


在您的管理员密码中添加数字,特殊字符和字母,然后使用强壮的密码

如果您获得了更多记录在您的数据库中,这会使您的网站变慢。因此,可以通过在wp-admin页面中添加图片验证码来避免这种情况。一些插件可用。像https://wordpress.org/plugins/wp-limit-login-attempts/