“哥,我的网站一周没动,服务器 CPU 占用却飙到 90%,我也没装啥插件啊…”
这是一个做电动滑板车外贸站的客户说。
我登录他后台一看,访问日志里,全是:
POST /wp-login.php POST /xmlrpc.php POST /wp-login.php每天几百次自动化尝试,全都是“撞密码、扫路径、试注入”,你不处理,它就一直刷,服务器直接拖慢
我说:“你这就像把门开着、密码贴门口,连个摄像头都没有…”
他傻眼:“WordPress 就这么容易被扫啊?”
我说:“不是 WordPress 不安全,是你没加防线。”
我给他做了这三步最实用的“防扫 + 防爆破 + 隐路径”配置
1. 改掉后台登录路径(隐藏 wp-login.php)
推荐插件:
- WPS Hide Login:改登录地址为 /my-dashboard 或任意自定义路径
- 自动屏蔽原路径 /wp-login.php 和 /wp-admin
不影响其他插件,不破坏系统结构,但所有扫脚本都会 404
2. 限制登录尝试 + 暂时封 IP
推荐插件:
- Limit Login Attempts Reloaded
- 功能:连续输错3次就锁账号 + 封IP 15分钟起
- 可设封禁时间、邮箱提醒、日志记录
搭配 Cloudflare 使用还能做地区屏蔽(如禁止俄罗斯、越南等常见扫描地段)
3. 关闭 xmlrpc.php 接口(几乎没用却常被打)
- 插件:Disable XML-RPC
- 或用 .htaccess 屏蔽:
<Files xmlrpc.php> Order allow,deny Deny from all </Files>这个接口是很多“低级挂马工具”专扫目标,一旦关掉,大量自动化攻击直接失效。
附加建议:
- 后台只允许特定国家访问(Cloudflare 高级规则)
- 重要账号开启双重验证(推荐 Wordfence 或 Solid Security)
- 登录日志开启,每月查看一次,有异常及时处理
我做完这三步后,他再看服务器日志,后台再也没被扫,访问稳定,评分也涨了。
他说:“以前觉得安全这块不重要,现在发现没它,站再好也白搭。”
我说:“你做站,是为了赚钱,不是给黑客练手的。”
—
WordPress 后台不设防,扫你的人比进你网站的客户还多。
改登录路径 + 封错登录 + 禁 xmlrpc,一小时就能做到,
但能省下无数被黑、被挂、被拖死的可能性。
懂安全,才能搭得稳。