都知道 WordPress 是世界上最流行的 CMS 了,针对它的各种扫描、破解就没少过。
本我也不以为然,“随它去吧”。
这是今天在调试 Nginx 的时候顺便看下日志文件,一看吓一跳啊!
每分每秒都有人在连续一段时间地扫描、尝试暴力登录,
我估计我要是开了登录失败通知,估计会被这些消息轰炸到。
围观
下面来看看这些该死的。
由于我是用 Apache 做后端处理 PHP ,所以基本看 Apache 的日志就够了。
对 IP 扫描的记录,5 号 06:30 到 6 号 00:43 这段时间,就有 1W2 条记录。
该死的是,全都 301 到我博客域名来了。
(因为图省事,随意一个域名指向我服务器,都是 301 到我博客域名,因为我还有几个空闲的域名)
针对本博客域名的扫描记录,5 号 06:30 到 5 号 23:15 这段时间,就有近 1W 条记录。
日志基本都是扫描记录,正常用户就没有几个记录。
可以看见,全部 200 响应了……
还不说其它域名了,一样被扫……
这还得了,万一菊花真被捅破了,那就不好玩了。
动手
首先把泛域名指向改为更加详细的规则:
然后把 WordPress 的登录地址给改了,同时也要做 301 ,哼。
经过这样子操作,别人也扫不到了,立马 301 了。
那么,自己要登录总不能也被 301 了吧?开什么玩笑嘛?
所以我还要修改真实登录地址。
网上能搜到的方法都是改 WP 文件,真的是很差劲的做法……
改了以后,WP 不能自动升级了,还是推荐使用插件来修改登录地址的。
推荐插件:WPS-HIDE-LOGIN
这样,就完美了!
完工。
现在就怕百度要查我水表了……
叨叨几句... 59 条评论
Mr.童 博主
你的主题越来越好看了诶,搞得我都想用 WordPress 了……
然后这个触摸屏幕会有五颜六色的球球炸开是怎么做到的呀。
后宫学长 博主
@Mr.童
特效也是 JS 弄的呀。
主题都是慢慢在折腾中……
折影轻梦 博主
2018新年快乐!!!
后宫学长 博主
@折影轻梦
谢谢,新年快乐!
devoted 博主
学长,2018年快乐!
后宫学长 博主
@devoted
谢谢啦,祝新年万事如意哦!
⑨BIE 博主
我的博客已经荒凉到连机器人都懒得来光临我的站了,hhhh
看着空空如也的 Nginx 日志,我也不知道是该哭还是该笑,23333
后宫学长 博主
@⑨BIE
这么惨的吗兄弟。