最近在观察后台的登陆统计的时候,发现来自"`乌克兰`","`美国`"的某个IP的访问数量特别多,访问记录显示是大量访问登陆页面`https://www.mobibrw.com/wp-login.php`,明显是发生了密码破解攻击。
本来以为`WordPress 4.4`版本已经对密码的访问次数进行了限制,结果试了一下,发现完全没有任何限制,很容易导致密码穷举攻击。比较简单的解决方法是对登陆页面进行密码尝试次数限制。
最方便的是安装`Limit Login Attempts`插件即可,这个插件很久不更新了。目前从测试来看,与`WordPress 4.4`版本是兼容的。