記錄我的wordpress被暴力破解騷擾
自從建起這個博客就想到會有被暴力破解,但是我也沒有把默認的登錄地址改掉,並且還在首頁加入了登錄的入口,把大門放在最明顯的位置。
最開始只是感覺被垃圾留言騷擾,於是就用了Akismet這個插件來自動過濾垃圾留言,剛開始還會去後臺看看又有多少垃圾留言,有沒有被誤判的留言(雖然沒有人會評論)。。。。後面就懶得管理了,也就沒有再看過,15天后被攔截的垃圾留言就會被自動清除。之前還會開放註冊,但是會有好多機器人註冊,然後留言。後面註冊頁關了(因為沒有人知道這個博客,除了機器人)。
昨天閑的無聊,看了一篇關於wordpress的安全問題,於是安裝了推薦的插件wordfence,安裝后就沒有管了。今天又進後臺看了一下發現wordfence記錄了好多登陸消息,之前也安裝了一個簡單的登陸保護插件,但是裏面一直沒有顯示被自動屏蔽的IP,也就沒有注意過這個問題。一直以為這個博客沒有被暴力過。。。。看到wordfence在後臺還在一直更新嘗試登錄的IP,然後就用其提供的whois功能直接屏蔽IP段,然後算是消停了一下。又去查看網站日誌發現之前一直在被暴力破解,整整齊齊的全是嘗試登錄記錄。於是又開啟了兩部驗證,同樣是wordfence提供的功能,在寫這篇文章時還在有機器人嘗試登錄。。。。幸好之前密碼是wordpress自動生成的複雜密碼,不然有可能就被爆破了。
不過比較疑問的是爲什麽這些機器人能知道我的用戶名。。。。我已經把要顯示的昵稱和名字都改成和用戶名不一樣了,在網頁源碼裏面也沒有發現用戶名,只能說小白一個,對這方面不懂,只好進數據庫把管理員名字改掉。但是改掉后那些機器人還在一直嘗試之前的用戶名,看來以後要多注意安全問題了。嚇得我要把xmlrpc.php刪掉了,,,
用wordpress的用戶,推薦你們用wordfence,能發現一些不被關注的問題。但是感覺這個插件把我後臺速度拖慢了。。。。