wordpress默认用户登录做了错误次数限制,但是没有对xmlrpc.php 这个文件接口限制,导致此文件被黑客利用进行暴力破解,此时可以利用Login Security Solution 插件来对这个文件接口进行限制。
设置界面:
插件的原理:当用户输入错误的帐号密码到达一定次数时,不直接封禁该IP,而是拖长该连接的响应时间,让黑客放弃这个这个攻击。延迟的长度被分成三层,延迟量在高层中增加,每个层中的延迟时间被随机地给攻击者进行复杂的剖析。
经过测试,在错误3-5次之后的响应时长平均大于4s,后期会逐渐增加到20s甚至更长。
评论