第 4 代 ‌‌VPS 及專屬伺服器‌‌
第 3 代 ‌‌VPS 及專屬伺服器‌‌

GoDaddy 說明

我們已盡最大努力為您翻譯本頁面。 我們也有提供英文頁面。

常見的WordPress攻擊

WordPress暴力破解通常使用兩種檔案:xmlrpc.php及wp-login.php。本文會詳細說明如何尋找攻擊的證據。

攻擊xmlrpc.php

什麼是XML-RPC?

XML-RPC(xmlrpc.php)允許使用其他應用程式遠端更新WordPress。目前版本的WordPress不再需要停用此功能,而啟用該功能則會讓您的網站容易受到攻擊。使用此檔案常會發現暴力攻擊。

我該如何得知我是否遭到攻擊?

如果您在很短的時間內發現相同IP的多次存取嘗試,可能表示是攻擊。

在以下範例中,IP 12.34.56.789曾嘗試一次存取xmlrpc.php頁面多次( 10 / Sep / 2022:05:12:02 ):

acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]“ POST //xmlrpc.php HTTP / 1.1” 200 438“-”“ Mozilla / 5.0(Windows NT 10.0 ; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko一樣)Chrome / 80.0.3987.149 Safari / 537.36“ acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]” POST //xmlrpc.php HTTP / 1.1“ 200 438”-“” Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 80.0.3987.149 Safari / 537.36“ acoolexample.com- ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]“ POST //xmlrpc.php HTTP / 1.1” 200 438“-”“ Mozilla / 5.0(Windows NT 10.0; Win64; x64 )AppleWebKit / 537.36(KHTML,Gecko一樣)Chrome / 80.0.3987.149 Safari / 537.36“ acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:05:12:02 -0700]” POST // xmlrpc .php HTTP / 1.1“ 200 438”-“” Mozilla / 5.0(Windows NT 10.0; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 80.0.3987.149 Safari / 537.36“

攻擊wp-login.php(wp-admin)。

攻擊者經常會使用會在嘗試進行數十次(數百次)連線後嘗試取得連線的bot才能存取您的wp-admin面板。

我該如何得知我是否遭到攻擊?

如果您在很短的時間內發現相同IP的多次存取嘗試,可能表示是攻擊。如果授權用戶記不清密碼,則每次嘗試之間可能需要幾分鐘的時間。

在以下範例中,IP 12.34.56.789曾嘗試一次存取wp-login.php頁面數次( 10 / Sep / 2022:08:39:15 ):

acoolexample.com-ssl_log:12.34.56.789--[10 / Sep / 2022:08:39:15 -0700]“ POST /wp-login.php HTTP / 1.1” 200 70760“https://www.acoolexample.com/wp-login.php ,「Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 103.0.0.0 Safari / 537.36」acoolexample.com-ssl_log:12.34.56.789--[[10 / Sep / 2022: 08:39:15 -0700]“ POST /wp-login.php HTTP / 1.1” 200 70760“https://www.acoolexample.com/wp-login.php ,「Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 103.0.0.0 Safari / 537.36」acoolexample.com-ssl_log:12.34.56.789--[[10 / Sep / 2022: 08:39:15 -0700]“ POST /wp-login.php HTTP / 1.1” 200 70760“https://www.acoolexample.com/wp-login.php “”“ Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML,Gecko)Chrome / 103.0.0.0 Safari / 537.36

後續步驟

  • 使用WHOIS搜尋檢查IP擁有權。如果此IP來自中國,且您沒有中國的客戶/訪客,那可能是惡意的。如果IP屬於(例如)Cloudflare,就不太可能是惡意的。
  • 封鎖攻擊。