当你的网站上线后,各种黑客和机器人开始孜孜不倦的尝试登陆你的网站,别跟我说你的网站还没有价值,不值得黑你。(经典反问问题[奸笑][奸笑])很多人喜欢用弱密码,一下就被撞库登陆了。
PS: 撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户
先看一个拦截日志,如下图
众所周知Wordpress程序的默认登陆地址是/wp-admin 和 /wp-login.php 等等
所以,我们需要隐藏掉这些默认登陆地址,自定义一个自己知道的地址。
安装隐藏登陆地址组件打开后台“插件” – “添加插件” 搜索 WPS Hide Login 并安装激活
然后打开“设置” – “WPS Hide Login” 如下图,设置一个自定义登陆地址就完成了。
这样就可以排除掉大部分的人为尝试登陆。
但是
还有其它的登陆方式,比如XMLRPC ,API方式等都是机器人喜欢走的线路,所以我们再加一个登陆限制
安装限制登陆组件打开后台“插件” – “添加插件” 搜索 Limit Login Attempts Reloaded 并安装激活
然后打开“设置” – “Limit Login Attempts Reloaded” 如下图
设置一个拦截时间,允许重试次数。这样就好了,只要你的密码够复杂,没泄漏过,基本不会被撞库登陆了。并且还可以设置一个拦截的邮件通知,让你知道有人正在黑你呢,要小心啊,要小心啊,要小心啊!
