最近充斥著 WordPress 網站被 try admin 帳號及密碼的消息(暴力攻擊)

最近充斥著 WordPress 網站被 try admin 帳號及密碼的消息(暴力攻擊)

1. 超過 90000 台 bonet 在作攻擊
2. 對針 /wp-login.php 及 /wp-admin 的連結一直在 try
3. 几乎每天都有 3 ~ 4 萬的攻擊數量，最近更逼近 10 萬
4. 常見的、被攻擊的帳號就是 admin，而密碼是 admin 或 123456 (123456 真是太好用了)

防禦一下吧

1. 硬體防火牆 + 有過濾應用層功能的
2. 軟體式的就用 apache + mod_security 或 mod dosevasive
3. 用 .htaccess 限制一下 /wp-login.php 或 /wp-admin 的存取
4. 用 WordPress 外掛，Better WP Security、Clean Options、Hide Login、Limit Login Attempts、Login Security Solution、Sucuri Security – SiteCheck Malware Scanner、Wordfence Security、Wordpress Firewall 等等
5. 換密碼 (設複雜一點)

假如被攻陷了，只好這麼作了

1. 刪除可疑的帳號
2. 換密碼
3. 換掉 wordpress 的 secret keys  (防止惡意的 admin 權限帳號可以一直處於登入狀態)
4. 終極方式，重新安裝 OK 的 WordPress

參考

• http://www.inmotionhosting.com/support/news/general/wp-login-brute-force-attack
• http://krebsonsecurity.com/2013/04/brute-force-attacks-build-wordpress-botnet/
• http://www.solidot.org/story?sid=34277
• http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html