月份: 2019 年 1 月

WordPress 目前已經是世界上最多人使用的 CMS 系統，隨之而來的就是對於他的攻擊也越來越多，不過根據個人經驗，如果有在定期更新核心、外掛、主題，其實比較常見的問題反而是，使用者的密碼太弱被猜測到導致網站被入侵。

除了確保自己的密碼難易度夠之外，比較常看到的做法會是加上像是 Google reCAPTCHA，或是其他驗證的方式，不過你有想過嗎？駭客是不需要對你的 wp-login.php 做嘗試，很多驗證用的外掛也僅能保護從 wp-login.php 的登入，如果走的是 wp-json 甚至是單純對 xmlrpc.php 不斷的發出請求，持續消耗資源導致網站不堪負荷而停止服務，透過外掛也難防這些討厭的攻擊。