几乎天天都有人在暴力破解JV的后台,
今天是第三次有人换ip来暴破 —— 无限穷举,无数次换ip。
不换ip来暴破还好,最烦的就是每试一次就换一个ip。(脏话要呼之欲出)
JV已经用.htaccess 封了无数恶意ip 。
.htaccess 安全
安全插件也有,限制登录次数 等等。碰到上面这些暴破方式就只能依靠用户名和密码的强大设置了。

话说本站的admin用户密码有39位,这个用户是JV特意添加的,让你慢慢破。
即便有如此强大的密码,被人暴菊花的感觉还是很不爽的。


下面是JV的一个防御方式:
在拥有强大的用户名和密码之下,

重命名wp-login.php

最先要注意的问题其实是修改wp-login.php的文件名或路径
手动修改的话连同wp-login.php内部的代码也要一同改过,所以这里有一款很小的重命名插件:rename-wp-login
在插件页面搜索即可下载。比如现在本站的登录地址不再是http://www.inlojv.com/wp-login.php

登录验证码

其次是登录验证码,还是插件:si-captcha-for-wordpress ,这东西可以选择对评论、注册、登录等设置验证码,
针对登录设置验证码还是比较靠谱的,建议尝试。
登录验证码

登录验证码设置
最后是安全插件,设置黑名单、定时备份、安全路径、登录次数限制等等。这类插件很多,在此就不举例了。


目前JV用的插件也不多,本身主题就有很强大的防垃圾评论功能,至今没有一条垃圾评论,同时也集成了其他特性,所以需要外带的东西反而很少。
2014-05-20_chajian
其中 theme-my-login 是侧边栏登录框插件,不用跑去登录页面登录了。

当然,最主要还是做好备份,以防他人恶意破坏能及时恢复。