隔壁大佬网站被黑了，我这个是不是也快了？一直尝试登陆

MYI · 发表于 2019-3-21 11:43:14

dengdeng 发表于 2019-3-21 11:41
function login_protection(){
if($_GET['admin'] != 'password')header('Location: http://yourblogaddres ...

学到了，谢大佬。回去就试试。

titanic · 发表于 2019-3-21 11:50:59

应该不会是WP的漏洞。。。检查下，权限什么的，哪些安全设置没做好。。。。

hising · 发表于 2019-3-21 11:52:03

本帖最后由 hising 于 2019-3-21 11:54 编辑

我的wp最近也天天被人暴力登陆，不过都是失败的，装一个wp防火墙很好用。
我的密码是lastpass生成的12位密码，用wp安全插件设置的登陆五次失败后锁定IP1小时，我发现他会换IP继续暴力破解。不过一般都拦下来了。

二暖的萌萌君 · 发表于 2019-3-21 12:01:07

function login_protection(){
if($_GET['admin'] != 'password')header('Location: http://yourblogaddress.com/');
}

这个可以防止有心之人登陆你的wordpress登陆页面，
设置好之后登陆地址为http://yourblogaddress.com/wp-login.php?admin=password
如果地址错误就会跳转到yourblogaddress.com也就是location的地址

甚至还可以后面再带个时间戳然后RSA写个时间戳为密码的加密秘钥为时间戳+1或者-1 等等
然后判断。。。不对就跳转到百度等等都可以

D33n · 发表于 2019-3-21 12:10:59

慌啥，一般也就插件出问题，wp自带那套源码应该是没问题的，把xmlrpc.php文件删了，这个可以用接口爆破登录密码的

D33n · 发表于 2019-3-21 12:12:46

MYI 发表于 2019-3-21 11:11
这个尝试登陆IP一直在更换。。。封都封不赢，我都想直接把国外的IP封禁了。 ...

你直接绑定登录ip白名单不就行了

限时优惠 · 发表于 2019-3-21 12:21:32

大家开启二次验证即可

cib · 发表于 2019-3-21 12:24:27

dengdeng 发表于 2019-3-21 11:41
function login_protection(){
if($_GET['admin'] != 'password')header('Location: http://yourblogaddres ...

膜拜大佬

ghyghoo8 · 发表于 2019-3-21 12:24:51

nginx 只允许指定ip访问后台就好了

kenutu · 发表于 2019-3-21 12:41:59

改文件名，然后你要等后台再改回来

		自动登录	找回密码
密码			注册