这是一个创建于 3179 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近把日志文件和云服务连接了一下,看日志的时候发现了这个现象:绝大多数针对 WordPress 的密码破解肉机在试图破解我的密码时,都是把 POST 请求发在了 HTTP 的页面,这个页面会被重定向到 HTTPS 版本,于是跳转了之后 POST 变 GET ,破解直接就无效了。
所以启动 HTTPS 之后,相当于能过滤掉大多数这些破解密码的 Bot ,这算是 HTTPS 的另一个好处吧。
截图(预警:使用的是竖屏 “ 8K ” 显示器一次截成)
xmlrpc ,全是 bot 破解
wp-login 登陆日志也一样是这种情况,因为包含了我自己的登陆,就没发
顺便吐槽一下微博的图床,我这图片 TinyPNG 压缩完就 1.4M ,传到微博图床上被转成了 JPEG 格式,约 10M ……
 | 1 xenme 2017-01-27 22:49:52 +08:00 via iPhone 我都在前台加个字段,这种机器人直接回 200 ,让他以为成功了 |
 | 2 Phant0m 2017-01-27 22:54:30 +08:00 via iPhone 截图的是什么系统? |
 | 3 jybox 2017-01-27 23:00:44 +08:00  1 其实这应该算是 HTTP 302 重定向的坑,应该使用 307 (或 303 )代替 302 。 见 https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/307 |
 | 4 ZE3kr OP |
 | 5 300 2017-01-27 23:07:40 +08:00 wordpress 可以改后台地址的啊=。= |
| 6 ZE3kr OP @winterbells 不想改,改地址我觉得只能算是一种 hack 的方式去解决,正常的解决方式是限制密码重试次数或者 ip 白名单等。 xmlrpc 如果改了的话会影响客户端使用。 |
 | 7 ivmm 2017-01-27 23:13:23 +08:00 有两步验证,让他猜去吧 |
 | 8 AsherG 2017-01-27 23:42:04 +08:00 via Android 静态博客就是好 |
 | 9 ys0290 2017-01-28 08:49:51 +08:00 via iPhone 改了登录地址 |
 | 10 Zohar 2017-01-28 09:44:55 +08:00 via Android |
 | 11 bfanr 2017-01-28 10:04:00 +08:00 via Android @Zohar 人心叵测啊,基本的信任呢。我点开没几秒没等我反应过来联通 4G 就跑了两百兆,大过年的不给我发红包就算了,还让我接着花钱订流量包 |
 | 13 laukwanchan 2017-01-28 12:37:09 +08:00 via iPhone @bfanr 笑出声(逃 |
 | 16 Technetiumer 2017-01-28 17:31:59 +08:00 而 typecho 配置一下就可以改地址,我认为不改地址才是不正常的,后台地址不应当公开。 |
 | 17 techmoe 2017-01-28 18:00:48 +08:00 via Android 好老套的 bot |
 | 18 Kaiyuan 2017-01-29 00:41:39 +08:00 @Zohar 原来还可以这样啊,我弄了个 1G 的... 判断到是 Bot 访问 wp-login.php 和 xmlrpc.php 就 301 到网上找到的 Download Test File 。 |
 | 20 wkl17 2017-06-03 18:48:40 +08:00 图裂了啊,v2ex 用的也是外链? |
Select Language