WordPress安全-如何阻止替代WordPress访问

时间:2013-01-14 作者:ido

我有一个自己托管的Wordpress 3.5博客。我正在研究它的安全性,并试图阻止非作者访问任何他们不应该访问的管理内容。

最近我试过Better Wordpress Security, 我真的很喜欢他们的一些htaccess建议。主要是使用唯一密钥隐藏/wp admin/的密钥,即使它有几个循环孔,您也可以使用注销查询找到密钥。无论如何:假设我/wp admin/和wp登录。php现在带来了一个404 not found,我以为自动机器人会停止攻击我。但他们没有。我仍然收到网站锁定通知。

我猜测Wordpress还有其他远程登录的标准路由,攻击者仍在试图利用这些路由。我在设置中找不到任何关于此的文档或任何内容。然而,本周早些时候,我们的一位作家问我关于通过他的智能手机向我们的Wordpress写信的事。有一个Android/iOS应用程序。所以我尝试了一下,我认为它不会起作用,因为正常的路线现在返回404。但实际上我成功登录了这个应用程序。那么it是如何工作的呢?它将查询发送到哪里?

简而言之,我真的需要一篇关于Wordpress登录如何工作的解释/文章。

注意:我目前没有basicauth over/wp管理员/

1 个回复
最合适的回答,由SO网友:ido 整理而成

我想我应该看看Android application\'s source code 看看它是如何沟通的。您可以在源代码中快速看到XML-RPC。

因此,访问博客的另一种方式是使用Wordpress XML-RPC 支持最近在3.5版中对其进行了改进并默认启用。我不明白为什么他们把它带回来却没有关掉它的选择。它一直打开到2.6,然后默认关闭,现在又回到了3.5

所以我发现this post. 它演示了如何使用Wordpress尊重的一行代码禁用XML-RPC:

在您的wp-cinfig.php 文件,将此行添加到require_once(ABSPATH . \'wp-settings.php\');:

add_filter(\'xmlrpc_enabled\', \'__return_false\');
这完全禁用了我从Android应用程序获得的任何访问权限。到目前为止,我没有收到任何网站锁定通知的错误登录,任务完成!

注意:在禁用之前,我做了一个测试,以确保BWPS也能扫描来自xmlrpc的错误登录。我在3g上用手机把自己锁在外面,后来收到了电子邮件通知。如果不是这样的话,那么整个理论都会受到质疑。所以请帮自己一个忙,现在禁用xmlrpc!除非你真的使用它,而且你不会经常受到来自土耳其ip地址的攻击。

结束
标签: login   security   remote   remote-login   小码农  

相关推荐

在wp-login.php中加载LOGIN_MESSAGE的.txt文件

如何加载文本文件或任何其他文件(如)的内容。php-并使用测试login_message 钩子,用于在#login wp登录中的框。php?(顺便说一句,这是一个儿童主题,如果它有区别的话。)function custom_login_message() { $message = get_bloginfo(\'stylesheet_directory\').\"/tos.txt\"; return $message; } add_filter(\'login_me