如果你有使用 WordPress 架站的話,最近可能要小心一些以 WordPress 網站為主的攻擊事件。
這次的攻擊主要是針對 WordPress 網站的管理員帳號 admin 來猜密碼、作暴力攻擊,儘管對大多數網站來說應該不用太擔心,不過建議還是將原本的 admin 帳號刪掉,改用其他較不常見的帳號名稱來當做管理員比較好。當然,密碼的部份一定不要弄得太過簡單,至少要有英文+數字 6 位數以上,,
如果你的網站只有你一個人發文,那也可以針對「wp-admin」目錄限制瀏覽者的 IP 位址,避免其他人開啟登入頁面、測密碼。不過限制 IP 的方式對於多人管理的網站來說可能有點麻煩,畢竟不是每個人的 IP 都會固定不變,有些可能在外面上網時還得連上 WordPress 後台更新或管理,IP 常常變動的話就不適合限制登入者的 IP。
如果你有這方面的需求,或者也可以試試看下面這個比較簡單的 Limit Login Attempts 外掛程式,在登入時偵測密碼輸入錯誤的次數,超過一定次數後就鎖定 N 分鐘,鎖定 N 次之後整個封鎖 24 小時。除了鎖定錯誤登入的操作之外,Limit Login Attempts 也可記錄被鎖定者的 IP 位址,並發 Email 通知網站管理員,可以讓我們在第一時間發現網站被攻擊,即時做些處理,避免大量的攻擊拖累網站運作速度。
▇ 軟體小檔案 ▇ (錯誤、版本更新回報)
- 軟體名稱:Limit Login Attempts
- 軟體版本:1.7.1
- 軟體語言:繁體中文、英文…等多國語言
- 軟體性質:免費軟體
- 檔案大小:161 KB
- 系統支援:此為 WordPress 網站專用外掛程式,支援 WP 2.8~ 3.3.2 版本。
- 官方網站:http://wordpress.org/extend/plugins/limit-login-attempts/
- 軟體下載:按這裡
使用方法:
第1步 將外掛程式下載回來、解壓縮後上傳到網站資料夾的「/wp-content/plugins/」資料夾裡面,再到網站後台的外掛管理頁面去啟用該外掛程式。
啟用之後,我們可以在「設定」選單中找到 Limit Login Attempts 的設定頁面,都是中文的,依照上面的說明調整一下你覺得不會太麻煩的限制方式。
第2步 設定好 Limit Login Attempts 外掛之後,可以試著自己用錯誤密碼登入兩次試試看,如果有出現如下圖的訊息,表示外掛正常運作中。
第3步 有人被鎖定的時候,會發出 Email 通知站長。
嗯…萬一哪天你自己被鎖住了、無法再用正確的密碼登入的話該怎麼辦呢? 可以用 FTP 或 SSH 連上伺服器,然後把外掛程式整個砍掉就好。
,