前段時間，WordPress 網(wǎng)站遭到了大規(guī)模的暴力破解攻擊，攻擊者首先掃描互聯(lián)網(wǎng)上的 WordPress 網(wǎng)站，然后利用 Web 服務(wù)器組建的僵尸網(wǎng)絡(luò)不斷嘗試用戶名和密碼試圖登錄管理后臺。

一般的僵尸網(wǎng)絡(luò)是利用普通 PC，而這次攻擊者使用了超過 9萬臺 Web 服務(wù)器，服務(wù)器比 PC 有更大的帶寬和連接速度，因此可以更快的發(fā)動攻擊。攻擊者暴力攻擊WordPress 管理入口，使用默認(rèn)的用戶名 admin，并嘗試數(shù)以千計的密碼。

如何防止被掃描和攻擊

從上面這則新聞，可以看出攻擊者主要是首先掃描 WordPress 網(wǎng)站，然后通過窮舉法攻擊 WordPress 的默認(rèn)用戶名：admin，我們可以通過以下三個步驟來減少被攻擊以及被攻陷的機會：

在當(dāng)前 functions.php 添加以下代碼去掉 WordPress 版本信息，減少被掃描到的機會。remove_action( 'wp_head', 'wp_generator');默認(rèn)的用戶名不要為 admin，通過一下 SQL 修改 admin 的用戶名：UPDATE wp_users SET user_login = 'newuser' WHERE user_login =  'admin';安裝 Limit Login Attempts 插件，限制登陸嘗試次數(shù)，防止通過窮舉法獲取后臺密碼。