WordPress 目前已經是世界上最多人使用的 CMS 系統,隨之而來的就是對於他的攻擊也越來越多,不過根據個人經驗,如果有在定期更新核心、外掛、主題,其實比較常見的問題反而是,使用者的密碼太弱被猜測到導致網站被入侵。
除了確保自己的密碼難易度夠之外,比較常看到的做法會是加上像是 Google reCAPTCHA,或是其他驗證的方式,不過你有想過嗎?駭客是不需要對你的 wp-login.php 做嘗試,很多驗證用的外掛也僅能保護從 wp-login.php 的登入,如果走的是 wp-json 甚至是單純對 xmlrpc.php 不斷的發出請求,持續消耗資源導致網站不堪負荷而停止服務,透過外掛也難防這些討厭的攻擊。
閱讀全文〈在 CentOS 中使用 Fail2ban 阻止暴力攻擊 WordPress〉