一、说明

今天进博客的时候发现所有页面都被植入了广告，气愤之余也是非常的震惊，没想到我一个日访问流量不超过10的小网站还能引起黑客的注意，而且服务器还一直收到暴力破解的请求，几秒钟就有一次，实在是难以理解。

博客建起到现在差不多三个多月，刚搭起的时候也是想过安全问题，当时只是觉得别人怎么看得上 我这一个小网站，一没流量二没钱，所以一直没有深入研究安全问题。也是直到今天才发现这个观点有问题，所以花了小半天研究了一下。

以下是一张攻击截图，从nginx访问日志提出来的，可以看到，该站点一直在不间断的发送请求到/xmlrpc.php ，这个文件恰恰又是一个暴力攻击的目标：

二、解决方法

解决的方法有很多，网上也有教程关于这个文件的处理方法，一个就是关闭xmlrpc 功能 ，在functions.php 文件中添加 ：

add_filter("xmlrpc_enabled", "__return_false");

但是添加之后也不知道成功了没成功，只知道这个文件是访问不了了。

三、安全插件

做好前面的步骤之后，还是不放心，因为从后台日志中还是发现了有这个文件的访问记录。为了安全起见，又找了两款安全插件：Login Lockdown和 WordFence 来加强，直接在插件后台在线安装即可，

Login Lockdown 可以设置密码输入错误次数，一旦错误此时超过指定次数该IP将被封禁。

WordFence 功能就强大了，检测各种安全问题，具体的用法还在慢慢勘测中，这里是主页的IP封禁TOP5概况：

四、其他

装好插件后应该能挡住一部分攻击了，但是应该还不是很牢固，还可以从以下方向去加强：

• 对nginx进行防火墙配置，设置IP并发访问限制。
• 加强密码防范，修改高强度密码，建议替换所有和服务器相关的密码，写了一个密码生成器，把所有密码修改成了随机组合的密码，地址：https://github.com/maqians/cpp
• 一般的云服务商都有提供安全组，在安全组内设定相关黑名单规则。