阻止常见的WordPress攻击
有两种通常用于WordPress暴力破解的文件:xmlrpc.php和wp-login.php。本文将详细介绍如何阻止这些攻击。
警告:并非所有IP都是恶意的!阻止错误的IP可能会导致停机(例如,阻止CDN IP)。
如何阻止xmlrpc攻击?
- 使用插件禁用xmlrpc 。
- 通过禁用xmlrpc.php
.htacess
文件。
在您的.htaccess文件中,添加以下代码:
Files xmlrpc.php文件> Order Allow,Deny Deny from all / Files(文件) >
有用吗?
如果您适当地阻止了对xmlrpc.php的访问,访问日志中的条目将类似于:
[Tue Aug 02 02:37:11.052622 2022] [authz_core:error] [pid 1449:tid 140380133652224] [client 220.85.221.65:51590] AH01630:服务器配置拒绝客户端:/var/www/vhosts/acoolexample.com/ httpdocs / xmlrpc.php [周二8月02 02:37:11.962665 2022] [authz_core:错误] [pid 1449:tid 140380007773952] [客户端134.122.112.76:51696] AH01630:服务器配置拒绝客户端:/ var / www / vhosts /acoolexample.com/httpdocs/xmlrpc.php [Tue Aug 02 02:37:14.016124 2022] [authz_core:error] [pid 1329:tid 140380243957504] [client 14.232.245.48:51854] AH01630:服务器配置拒绝客户端:/ var / www / vhosts / acoolexample.com / httpdocs / xmlrpc.php
如何阻止wp-login.php(wp-admin)攻击?
- 使用插件限制登录尝试次数。
- 限制通过IP地址访问WordPress登录页面的步骤
.htacess
文件。
在您的.htaccess文件中,添加以下代码:
wp-login.php文件>拒绝命令,允许xx.xxx.xx.xxx允许/ Files(文件) >
注意:每个授权IP(您,您的开发人员等)都需要添加允许规则。
后续步骤
以下是您可能会使用来帮助阻止恶意流量的其他一些建议:- 阻止服务器防火墙中的IP
- 将默认用户从“ admin”更改为其他名称
- 在Apache配置中阻止访问xmlrpc.php和/或wp-login.php