最近因为 VPS 的资源使用统计图示中出现了很多空白时间段（via），一直在看日志寻找原因。无意中发现有不少人在攻击我的 WordPress 登录密码。于是采取了一些措施来保护我的 WordPress。

水景一页遇到的攻击情况¶

有人使用自动化的程序持续尝试登录我的 WordPress。在我搜查访问日志文件的时候，发现这类攻击的请求模式如下：

60.169.75.161 - - [03/Mar/2012:01:21:49 +0800] "GET / HTTP/1.1" 301 187 "-" "Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
60.169.75.161 - - [03/Mar/2012:01:21:49 +0800] "GET / HTTP/1.1" 200 10760 "http://www.cnzhx.net" "Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
60.169.75.161 - - [03/Mar/2012:01:21:50 +0800] "GET /wp-login.php HTTP/1.1" 200 1033 "http://cnzhx.net/" "Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
60.169.75.161 - - [03/Mar/2012:01:21:50 +0800] "POST /wp-login.php HTTP/1.1" 200 1409 "http://cnzhx.net/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"

可以发现，前 2 行访问显示出，该自动程序使用 www.cnzhx.net 来访问我的网站。可是我一直都使用 cnzhx.net 做为网站首页地址的。这充分说明它的攻击不是单单针对水景一页的。

因为对密码的尝试使用了 POST 方法，使用下面的语法可以慢慢查看 access.log 网站访问日志文件：

grep "POST /wp-login.php" *access.log | less

因为我的日志使用了 rotatelog 进行分割了，上面使用通配符 * 来匹配目录中的所有 access 日志。

然后发现可以从策略上将其分为两类：

• 一类是短期内快速发送多个登录请求。这一点也许可以通过在 iptables 中设置单 IP 建立的速率限制，起到一点点降低攻击速度的作用。
• 另一类比较麻烦，模拟正常访问进行慢速攻击。典型的例子就是，一位来自安徽芜湖电信（上面例子中的 IP）的朋友，每隔 1~2 分钟发送一次登录请求。但是这伙计非常有耐心。从我保留的日志来看，暴力破解至少持续了一个月。每天都有几次，每次持续好几个小时。所以算起来已经尝试了很多很多次了。

 采取的防范措施¶

我觉得采取的措施可以有下面三级。

1、复杂的密码 – 推荐¶

对付针对登录密码的攻击，最有效的手段就是使用超级复杂的密码了。

非常幸运的是，我的 WordPress 登录密码又臭又长，我自己都懒得记，也懒得一个字符一个字符的输入。每次都是复制粘贴进去。我相信，这样的密码对暴力破解来说肯定是噩梦。

当然，也可以使用密码管理软件，或者直接用浏览器的记录密码功能。目前我还不打算使用专门的密码管理软件，没有那个必要。

这事儿也说明，所有的网络服务的登录密码都设置得复杂一些还是很有必要的。不怕记不住，可以复制粘贴嘛。

2、使用验证码 – 推荐¶

经常在登录各种系统的时候被要求输入验证码，烦透了。所以我尽量不在自己的网站上搞这样的玩意儿。到目前为止，除了垃圾留言比较多之外，也没发现别的问题。今天不同了，密码啊，当然不能给别人猜了出来。

密码够复杂的话实际上不需要验证码这玩意儿了，不过装一个更保险。也可以捎带保护注册用户，他们的密码就不一定复杂了。

WordPress 插件库里有很多提供验证码功能的插件，使用关键词 Captcha 一搜一大把。比较了半天，我最终选了这个 SI CAPTCHA Anti-Spam，安装之后，让它只在注册和登录页面起作用。

另外有个名字叫做 Captcha 的也很好，非常简洁明了，跟这个不相上下吧，不过我担心它很容易被智能程序搞定，所以没用。还有个 Really Simple CAPTCHA 也挺不错，一个日本人开发的，可是配置起来不够方便。

3、使用 WordPress 登录保护插件 – 推荐¶

在 WordPress 的插件中心提供了 2 个保护 WordPress 登录的插件，可以自动对登录的错误次数进行记录并采取保护措施。这个插件可以更方便的阻止暴力破解密码的攻击。

• Login Lock（该插件已废弃） – 这一款似乎更受大家欢迎。功能包括：增强的密码策略；紧急锁定登录功能；监控登录尝试；封锁攻击者 IP 地址；登录用户空闲一段时间之后自动注销登录等。
• Simple Login Lockdown – 更简单，正如其名。提供的保护就是自动封禁错误登录的 IP 一段时间：有人尝试登录并失败 ——> 该插件记录登录失败的次数 ——> 超过设定的次数（默认 5 次）后，在一段时间内（默认 1 小时）禁止该 IP 地址打开登录页面 wp-login.php。

下面的方法仅适用于 VPS 或独立服务器用户：

4、使用 fail2ban 自动分析访问日志¶

荣斌提供了另一个方案，就是配合 VPS 上的日志记录，使用 fail2ban 来分析日志并完成自动封锁该 IP 的访问。

具体思路见文后的评论。

5、iptables 设置¶

可以有 2 个思路：一是限制发起连接的速度，针对前面提到的第一类暴力破解攻击；二是，如果攻击者是固定 IP 的，并且持续攻击（比如上面例子里的那个），我选择的做法是直接 BAN 掉该 IP，永远不让它访问我的网站了。

在 ACCEPT HTTP 访问之前插入一条：

iptables -I INPUT 1 -s 123.123.123.123 -j DROP

暂时我能想到的就这么多了，朋友们有什么好的建议，不妨多扔一些过来。嗯，如果你还没有留心这类攻击，不妨回去查查日志 :D©

本文发表于水景一页。永久链接：<http://cnzhx.net/blog/prevent-brute-force-wordpress-login-pw/>。转载请保留此信息及相应链接。