最近在观察后台的登陆统计的时候,发现来自"乌克兰","美国"的某个IP的访问数量特别多,访问记录显示是大量访问登陆页面https://www.mobibrw.com/wp-login.php,明显是发生了密码破解攻击。
本来以为WordPress 4.4版本已经对密码的访问次数进行了限制,结果试了一下,发现完全没有任何限制,很容易导致密码穷举攻击。比较简单的解决方法是对登陆页面进行密码尝试次数限制。
最方便的是安装Limit Login Attempts插件即可,这个插件很久不更新了。目前从测试来看,与WordPress 4.4版本是兼容的。
一般情况下,软件的漏洞信息和特定版本,特定操作系统是相关的,因此,软件的版本号以及操作系统类型对攻击者来说是很有价值的。
在默认情况下,Apache会在返回信息中把自身的版本号,操作系统类型都显示出来,如下图:
这样做会造成潜在的安全风险,导致不必要的攻击行为。
在Ubuntu 14.04系统上隐藏Apache-2.4的版本号与操作系统类型的方法如下:
|
1 |
$ sudo vim /etc/apache2/conf-enabled/security.conf |
把文件中的的ServerTokens OS修改为ServerTokens Prod,ServerSignature On修改为ServerSignature Off,如下图所示:
修改完成后,重启Apache2的服务
|
1 |
$ sudo service apache2 restart |
修改后的结果如下图所示,已经没有系统类型信息了,仅仅返回了一个403错误。
