這一篇你可以看成是:: corAusir :: 程式逗設計的這一篇:甘道夫,我的 WordPress 被攻破了 [ WP 駭客記 ]的延伸閱覽,因為那一篇文章只提出了問題的所在但是並沒有告訴大家解決的方法,所以高登就發這一篇文來補充說明一下。

或許是原作者Ausir事後覺得拿我當例子有些不妥,所以曾透過朋友來致意,但是我告訴他不在意,為什麼呢?因為使用者名稱本來就是一直攤在陽光下的,你用奇摩、Gmail或是Hotmail別人知道你的信箱自然也就知道你的使用者名稱了,所以知道使用者名稱沒什麼大不了的,但是你的密碼強度就很重要了,這是稍有資訊安全概念的人都知道的,但是一般人就是「懶」!所以常常會用萬用密碼(每一個地方用的密碼都一樣),這樣子密碼如果外洩了嚴重性就可想而知了!

就Ausir所提出的問題一樣其實高登早就看過也知道這種的危機,但是一樣「懶」!所以也沒有採取進一步的動作,現在既然被抓包了就趕緊來補救一下:

Limit Login Attempts外掛

看到外掛名稱你應該就猜到要作什麼用的:「限制登入錯誤的次數」,用這一個簡單的外掛就可以防止別人來猜你的密碼,甚至在別人猜你的密碼時你就會知道了。

外掛網址:http://wordpress.org/extend/plugins/limit-login-attempts,如果可以由後台安裝就直接打外掛名稱搜尋安裝就好了,不行的話就照原來的方式上傳啟用。

外掛設定

這個外掛設定的項目不是很多,請由〔設定〕找到〔Limit Login Attempts〕的設定頁面:

最上面的「Statistics」是告訴你阻擋了幾次的入侵

接下來的「Options」則是你可以設定的項目,我就圖中的內定值來解釋它的含義:

  • Lockout:允許4次重試,錯誤的話鎖定20分鐘,頒定4次之後延長為24小時,24小時後解除鎖定。
  • Site Connection:直接連線或是透過代理伺服器Proxy連線。
  • Handle Cookie Login:是否處理Cookie
  • Notify on lockout:發生鎖定時的通知1. 記錄IP(在這一個後台介面)2. 有4次鎖定發Email通知。
Limit Login Attempts外掛

外掛啟用之後如果登入錯誤就會記錄次數,像這樣子:

Limit Login Attempts外掛

真的太超過就把你Ban掉!

還有喔

高登就好人作底再加一些料:

變更管理者名稱請服用之前介紹過的:用WP-optimize優化WordPress。還有一點也很重要:

把你的wp-content/plugins跟wp-content/themes兩個目錄藏起來,這是沒有藏起來之前你輸入plugins目錄就可以看到你有哪些外掛,雖然不見得這些都是有啟用的,但總是被人看光光有些不爽!

Limit Login Attempts外掛

解決的方法很簡單:放一個空的「index.html」在這兩個目錄就可以了,還有如果你的圖床不想讓人瀏覽的話也如法炮製。