討論

如果你有使用 WordPress 架站的話，最近可能要小心一些以 WordPress 網站為主的攻擊事件。

這次的攻擊主要是針對 WordPress 網站的管理員帳號 admin 來猜密碼、作暴力攻擊，儘管對大多數網站來說應該不用太擔心，不過建議還是將原本的 admin 帳號刪掉，改用其他較不常見的帳號名稱來當做管理員比較好。當然，密碼的部份一定不要弄得太過簡單，至少要有英文+數字 6 位數以上，最好再加上一些 ~!@#$%^&*… 等特殊符號，增加密碼被破解的難度。

如果你的網站只有你一個人發文，那也可以針對「wp-admin」目錄限制瀏覽者的 IP 位址，避免其他人開啟登入頁面、測密碼。不過限制 IP 的方式對於多人管理的網站來說可能有點麻煩，畢竟不是每個人的 IP 都會固定不變，有些可能在外面上網時還得連上 WordPress 後台更新或管理，IP 常常變動的話就不適合限制登入者的 IP。

如果你有這方面的需求，或者也可以試試看下面這個比較簡單的 Limit Login Attempts 外掛程式，在登入時偵測密碼輸入錯誤的次數，超過一定次數後就鎖定 N 分鐘，鎖定 N 次之後整個封鎖 24 小時。除了鎖定錯誤登入的操作之外，Limit Login Attempts 也可記錄被鎖定者的 IP 位址，並發 Email 通知網站管理員，可以讓我們在第一時間發現網站被攻擊，即時做些處理，避免大量的攻擊拖累網站運作速度。

繼續閱讀 »