【网站安全】Nginx下WordPress防止服务器被爆破登录和恶意扫描的方法

0337

说明:

建站小有规模以后,每天都会有人来扫我的文件,重灾区是扫根目录压缩包和xmlrpc.php 这两个文件

# 扫描我的文件
45.151.248.113 - - [02/May/2023:08:07:23 +0800] "GET /my.gz HTTP/1.1" 444 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
45.151.248.113 - - [02/May/2023:08:07:24 +0800] "GET /my.bak HTTP/1.1" 444 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
45.151.248.113 - - [02/May/2023:08:07:24 +0800] "GET /my.7z HTTP/1.1" 444 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

# 批量爆破我的登录界面
https://jy.cyou/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0"
46.235.40.58 - - [02/May/2023:09:50:03 +0800] "POST /wp-login.php HTTP/1.1" 404 5978 "HTTPS://JY.CYOU/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0"

#疯狂访问xmlrpc.php
5.23.50.207 - - [02/May/2023:10:13:01 +0800] "POST /xmlrpc.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36"
51.79.230.233 - - [02/May/2023:10:13:02 +0800] "POST /xmlrpc.php HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.76 Safari/537.36"

今天我给大家一些解决办法,一次性搞定这些小人!

方法:

1.首先是针对扫描文件的:

针对这些小人,我的解决办法是:既然你喜欢下,就给你下个够!

server{

    ...    
    rewrite /.rar/?$ http://lg-tok.fdcservers.net/10GBtest.zip  permanent;
    rewrite /.tar/?$ http://lg-tok.fdcservers.net/10GBtest.zip  permanent;
    rewrite /.zip/?$ http://lg-tok.fdcservers.net/10GBtest.zip  permanent;
    rewrite /.sql/?$ http://lg-tok.fdcservers.net/10GBtest.zip  permanent;
    rewrite /.gz/?$ http://lg-tok.fdcservers.net/10GBtest.zip  permanent;
    rewrite /.7z/?$ http://lg-tok.fdcservers.net/10GBtest.zip  permanent;
 ...
    
}

后面文件下载地址可以自己修改:

新加坡: http://lg-sin.fdcservers.net/10GBtest.zip 
日本: http://lg-tok.fdcservers.net/10GBtest.zip 
香港: http://lg-hkg.fdcservers.net/10GBtest.zip

当然,文明一点你也可以:

server{

    ...

    # 禁止访问指定文件
    location ~ /.(zip|rar|sql|tar|gz|7z)$ {
        return 444;
    }

    ...
    
}

2.针对访问xmlrpc.php

先来介绍一下xmlrpc.php这个东西,在老版本WP上存在的东西,但是最新版本已经过时了,且不再使用,

而且开启这个功能还会有被利用DDos的风险,且黑客可以批量发出POST请求来尝试获取账号密码,所以一般都是关闭!

    # 禁止访问xmlrpc.php
location ~ ^/xmlrpc.php$ 
    {
      return 444;
    }

当然,你也可以使用插件来直接禁用掉xmlrpc.php:

3.针对批量爆破登录界面

我的建议是直接使用插件:WP Hide Login,这个插件有中文版,可以把未登录状态下的wp-login.php 替换到其他位置!

如果这篇文章对你有帮助,或者有好的建议和推荐,欢迎回复!

温馨提示: 本文最后更新于2024-02-04 14:49:00,某些文章具有时效性,若有错误或已失效,请在下方 留言或联系 沐橙论坛
© 版权声明

网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
分享是一种美德,当你分享时请你附带上本文链接。

THE END
网络教程
喜欢就支持一下吧
点赞7 分享
沐橙的头像-沐光橙香
Geyser介绍&教程-沐光橙香
Geyser介绍&教程
Geyser介绍&教程
1个月前 7.9W+
[以和谐仅供参考]MYM码支付免费版-沐光橙香
[以和谐仅供参考]MYM码支付免费版
[以和谐仅供参考]MYM码支付免费版
1个月前 4.7W+
WordPress给网站添加一个聊天机器人-沐光橙香
WordPress给网站添加一个聊天机器人
WordPress给网站添加一个聊天机器人
1个月前 526
如何优化图片来提高WordPress网站加载速度-沐光橙香
如何优化图片来提高WordPress网站加载速度
如何优化图片来提高WordPress网站加载速度
1个月前 363
WordPress网站伪静态及固定链接设置教程-解决404错误问题-沐光橙香
WordPress网站伪静态及固定链接设置教程-解决404错误问题
WordPress网站伪静态及固定链接设置教程-解决404错误问题
1个月前 105
百鬼绫目 沙花叉库洛艾 爱丽丝梦游仙境 原神甘雨-沐光橙香
百鬼绫目 沙花叉库洛艾 爱丽丝梦游仙境 原神甘雨
百鬼绫目 沙花叉库洛艾 爱丽丝梦游仙境 原神甘雨
1个月前 78
相关推荐
子比主题7.6正版源码+破解文件-沐光橙香
子比主题7.6正版源码+破解文件
子比主题7.6正版源码+破解文件
1个月前 51
用国际网站(域名)接入企鹅互联-沐光橙香
用国际网站(域名)接入企鹅互联
用国际网站(域名)接入企鹅互联
1个月前 43
全网最全ChatGPT 镜像网站+部署项目推荐-沐光橙香
全网最全ChatGPT 镜像网站+部署项目推荐
全网最全ChatGPT 镜像网站+部署项目推荐
1个月前 48
WordPress 主题/插件/小工具开发教学笔记-沐光橙香
WordPress 主题/插件/小工具开发教学笔记
WordPress 主题/插件/小工具开发教学笔记
1个月前 30
Linux systemctl 命令汇总笔记-沐光橙香
Linux systemctl 命令汇总笔记
Linux systemctl 命令汇总笔记
1个月前 29
【WordPress】用AI生成文章的插件:HotSpot AI 懒人福利!-沐光橙香
【WordPress】用AI生成文章的插件:HotSpot AI 懒人福利!
【WordPress】用AI生成文章的插件:HotSpot AI 懒人福利!
1个月前 43
SweetAlert2 一款功能强大的消息对话框插件-沐光橙香
SweetAlert2 一款功能强大的消息对话框插件
SweetAlert2 一款功能强大的消息对话框插件
1个月前 32
前端用Javascript如何实现图片批量下载?-沐光橙香
前端用Javascript如何实现图片批量下载?
前端用Javascript如何实现图片批量下载?
1个月前 28
未登录时B站时看视频弹登录窗并暂停怎么办?用Chrome自带的JS替换屏蔽吧!-沐光橙香
未登录时B站时看视频弹登录窗并暂停怎么办?用Chrome自带的JS替换屏蔽吧!
未登录时B站时看视频弹登录窗并暂停怎么办?用Chrome自带的JS替换屏蔽吧!
1个月前 31
如何优化图片来提高WordPress网站加载速度-沐光橙香
如何优化图片来提高WordPress网站加载速度
如何优化图片来提高WordPress网站加载速度
1个月前 363
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片

    暂无评论内容

热门文章
Geyser介绍&教程-沐光橙香
7.9W+人已阅读
Geyser介绍&教程
TOP1
[以和谐仅供参考]MYM码支付免费版-沐光橙香
[以和谐仅供参考]MYM码支付免费版
1个月前4.7W+人已阅读
TOP2
去除所有粒子效果材质-沐光橙香
去除所有粒子效果材质
1个月前4.6W+人已阅读
TOP3
WordPress给网站添加一个聊天机器人-沐光橙香
WordPress给网站添加一个聊天机器人
1个月前526人已阅读
TOP4
如何优化图片来提高WordPress网站加载速度-沐光橙香
如何优化图片来提高WordPress网站加载速度
1个月前363人已阅读
TOP5
WordPress网站伪静态及固定链接设置教程-解决404错误问题-沐光橙香
WordPress网站伪静态及固定链接设置教程-解决404错误问题
1个月前105人已阅读
TOP6
沐橙的头像-沐光橙香

沐橙徽章-人气佳作-沐光橙香17天前0

破解版 没有更新了
a452029369的头像-沐光橙香钻石会员

a45202936917天前0

更新没有
沐橙的头像-沐光橙香

沐橙徽章-人气佳作-沐光橙香18天前0

抱歉 可能已经和谐了 将给您退回积分
a452029369的头像-沐光橙香钻石会员

a45202936918天前0

要授权 日
a452029369的头像-沐光橙香钻石会员

a45202936926天前0

表情[shui]-沐光橙香
傻橙的头像-沐光橙香黄金会员

傻橙徽章-初出茅庐-沐光橙香52天前0

表情[xieyanxiao]-沐光橙香
沐橙的头像-沐光橙香

沐橙徽章-人气佳作-沐光橙香52天前0

加一点简绍表情[weixiao]-沐光橙香
傻橙的头像-沐光橙香黄金会员

傻橙徽章-初出茅庐-沐光橙香1个月前0

好好好好
标签云
网站加速材质包心理健康安装教程子比主题固定链接伪静态互通WordPress教程安装教程WordpressmcbeGeyserCDN