在 CentOS 中使用 Fail2ban 阻止暴力攻擊 WordPress

WordPress 目前已經是世界上最多人使用的 CMS 系統,隨之而來的就是對於他的攻擊也越來越多,不過根據個人經驗,如果有在定期更新核心、外掛、主題,其實比較常見的問題反而是,使用者的密碼太弱被猜測到導致網站被入侵。

除了確保自己的密碼難易度夠之外,比較常看到的做法會是加上像是 Google reCAPTCHA,或是其他驗證的方式,不過你有想過嗎?駭客是不需要對你的 wp-login.php 做嘗試,很多驗證用的外掛也僅能保護從 wp-login.php 的登入,如果走的是 wp-json 甚至是單純對 xmlrpc.php 不斷的發出請求,持續消耗資源導致網站不堪負荷而停止服務,透過外掛也難防這些討厭的攻擊。

閱讀全文〈在 CentOS 中使用 Fail2ban 阻止暴力攻擊 WordPress〉

CVE-2018-6389 Fail2ban Rule

幾天前報出了個可能可以癱瘓 WordPress 網站的消息,透過大量對 load-scripts.php 的請求讓伺服器承受不了,雖然有改 load-script.php 的作法,不過我想使用 fail2ban 就能在不更動原始碼的方式來阻止。

閱讀全文〈CVE-2018-6389 Fail2ban Rule〉