wordpress 网站一直被别人暴破密码，怎么办。。。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

Recommended Services

› Amazon Web Services

› LeanCloud

› New Relic

› ClearDB

This topic created in 3493 days ago, the information mentioned may be changed or developed.

191.96.249.54 - - [15/Oct/2016:08:48:05 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 502 568 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 502 568 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 502 568 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 502 568 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:07 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:07 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

查了一下 ip ，是塞舌尔的，我真是日了狗了。
网站本来就是建了玩玩的，配置很低，它这样不停 post ，造成网站加载很慢。看了一下 log ，从昨天晚上到现在，一直在破解。。
这种情况怎么办啊

Supplement 1 · Oct 15, 2016

刚才看了一下，一夜之间日志增加了 100M 。已经把它 ip ban 了。。

39 replies • 2016-10-20 15:53:27 +08:00

CYKun

Oct 15, 2016 via Android

ban IP 啊

Mac

Oct 15, 2016

这是老 BUG 了，你不用远程写 BLOG 的功能的话，直接把 xmlrpc.php 删了或者改名就可以了。

sfree2005

Oct 15, 2016

可以在你的.htaccess 添加
```
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
```

Kaiyuan

Oct 15, 2016

禁止通过 IP 访问，禁止访问 xmlrpc.php ，如果是国外网站又对访问速度不太在意的就套一层 Cloudflare, 国内网站有备案的也可以，不过速度还是会慢。
我的设置是非域名访问都会 301 到 Cloudflare 主页，然后偶尔看看日志，发现这类请求直接添加 IP 到 iptables 黑名单。
我这里收到的攻击都是法国的 scaleway 多，毕竟那个 VPS 只要 €2.99/month ，配置还不错。

pyufftj

Oct 15, 2016

@sfree2005 要重启服务器吗，加了还是不断被暴破啊

misaka19000

Oct 15, 2016

加一个巨复杂的验证码？

sfree2005

Oct 15, 2016

@pyufftj 不用重启，即使继续被爆破，加了之后还是减轻了很多负担，实在不行就只能通过防火墙 ban 掉那些个 IP 了。

livc

Oct 15, 2016 via iPhone

在 v 站发你的博客地址了吧😏

incesa

Oct 15, 2016

闲的蛋疼的脚本小子吧，我的也天天被这么搞

pyufftj

Oct 15, 2016

@incesa 真是闲的蛋疼，我密码一串随机数字加字母，他能暴破出来我密码我就服他

loveyu

Oct 15, 2016

我是这样玩的，然后只允许自己手机的 UA 访问，之后再也没见过别人暴密码了
location ~/xmlrpc\.php* {
rewrite (.*) /xmlrpc_filter.php;
}

breestealth

Oct 15, 2016

你需要这个插件“ iThemes Security ”，当中有很多有用的安全设置，亲身经验非常有效。

uyhyygyug1234

Oct 15, 2016 via Android

fail2ban

qcloud

Oct 15, 2016

@livc 😏 就在他的个人主页

lan894734188

Oct 15, 2016 via Android

验证码

isbase

PRO

Oct 15, 2016 via Android

fail2ban 挺好用的

pyufftj

Oct 15, 2016

@breestealth 好的，谢谢啦！

pyufftj

Oct 15, 2016

@sfree2005 恩，现在好了。妈蛋，我把文件改名了，他还是不停一秒钟发几个 post ，不过返回 404 。直接把 ip ban 了，终于清静了。

Technetiumer

Oct 15, 2016 via Android

直接伪装成破解成功，清静了

ZE3kr

Oct 15, 2016 via iPhone

https://www.v2ex.com/t/310759#reply9 遇到过同样问题，我是安装 Wordfence 解决的

其实吧，密码设置一定要足够复杂，不怕破解。每秒 3 次能破解出啥。攻击者也不是针对你。而且这种频率占不了多少配置。

日志大的话，关了就行了

cevincheung

Oct 15, 2016

有两步验证插件的路过。。表示密码就是 admin 。。来吧。

ZE3kr

Oct 15, 2016

看错了，大概每秒 7 次左右，这种频率也不低了。（删 xmlrpc 会导致一些问题，比如客户端无法使用等，个人不建议）

ban ip 只是暂时的，攻击者 IP 又很难确定，以下方法很通用：

我用的 Nginx ，在 http{}里加上这一行：

limit_req_zone $binary_remote_addr zone=php:10m rate=2r/s;

在 server{} 里的 location ~ [^/]\.php(/|$) {} 里加上

limit_req zone=php burst=16;

这样就能限制每 IP 每秒最多两次请求，否则 503 。静态内容不受影响

这能有效解决 CPU 占用问题，然后再配合各种插件，通过 PHP 再加一层屏蔽，这种方法没前者高效，但同样必要。

log_not_found off; —— 404 页面不去记录日志

kn007

Oct 15, 2016

最简单的就是给 wordpress 的 login 套上一层简单验证。
https://kn007.net/topics/wordpress-how-to-protect-the-wp-login-php-and-wp-cron-php/

fhefh

Oct 15, 2016

@Kaiyuan 大哥可以发个购买地址不偶去看看

GG668v26Fd55CP5W

Oct 15, 2016 via iPhone

以前写过一个插件，把 xmlrpc 实现了二次验证

McContax

Oct 15, 2016 via iPhone

Wordpress 的话用极验验证可以解决的吧，而且还是免费，这个还可以用来阻挡垃圾评论，效果超好。

congeec

Oct 15, 2016

搞定了以后可以用蜜罐玩玩脚本小子

rosu

Oct 15, 2016

搜一下插件就行了

lalala2016

Oct 15, 2016 via Android

给后台页面设置固定 ip 访问权限，除了指定 ip 外其他的通通拒绝。还有个比较傻瓜式的方法，有些 cdn 有路径访问限制功能，先上 cdn 再更换 ip （这个是必须的，就算不允许 ip 访问可只要知道域名和真实 ip 一样能爆破，这时 cdn 已经被废掉了），在 cdn 后台设置禁止访问网站后台，然后自己电脑 host 真实 ip （目的是绕开 cdn 防护），这样就只有自己能登陆后台了。如果想把防御设置的更变态一些，就把 cdn 的 ip 段和自己的 ip 加入服务器白名单，，除此外拒绝一切 ip ，这样子如果不是顶尖高手恐怕没人能破得了，安全性 99.999999 ％

axot

Oct 15, 2016 via iPhone

otop 不行吗

axot

Oct 15, 2016 via iPhone

打错了 totp

cevincheung

Oct 15, 2016

@axot 对的有插件完美解决。

wevsty

Oct 15, 2016

同被这个 ip 盯上，结果把我的小机搞挂掉了。。。
果断 iptables 禁止 IP 段，然后.htaccess 禁用 xmlrpc.php 了

j8sec

Oct 16, 2016

recaptcha

hoythan

Oct 16, 2016

删除 xmlrpc.php 就可以了
其他可以删除并且有作用的有

hoythan

Oct 16, 2016

wp-trackback.php
readme.html
license.txt
wp-comments-post.php
wp-mail.php
wp-cron.php
作用虽然有,但是作用不大,基本可以用其他插件或者自己写的主题功能代替. 尤其是 comments 是 wp 所有垃圾评论的根源文件.

tangzhehao

Oct 16, 2016

xmlrpc 一定要关闭
http://tzh.in/269.html

hasbug

Oct 16, 2016

一有新版就升级的路过

sky170

Oct 20, 2016 via iPhone

google Authenticator