最近不知道怎么回事,一直收到邮件说有人在暴力破解我的后台密码,对我来说都快烦死了。

也不知道那个人在想什么,我的站里面啥也没有,有什么值得暴力破解的地方。即使破解开了也只能证明他猜密码能力强,这又如何呢?每次看的时候都是什么admin之类的用户名尝试,一看就是外国人,一天天真的是闲的没事了,作为一个中国人我会把用户名设置成英文单词吗?拼音他不香吗?他竟如此执着的认为我会设置简单的用户名和密码。

几分钟收到几十封邮件,还得一个个点着删除,实在是太烦人了,最后稍微关闭了一会网站,但是再次开放时又来了,这几天几乎天天都在暴力破解我的密码。即使我已经使用了wordfence并且将错误次数设置成了一次,一次封禁ip两个月时间。就这样竟然被人用大量ip轰炸,导致我的邮箱出现了一堆邮件,删除真是太浪费时间了。

后来就决定开启wordfence的2FA双重验证,其实就是一个类似于steam登陆时的验证码,没过一段时间就会发生变化,加了以后感觉手机变得清净了需许多,没有了烦人的破解邮件,终于能安心工作了。

这个2FA根据wordfence的说法开始是仅限付费用户使用,后来开放给所有人使用了,真是一家好公司。以后等资金充足了,再选择购买他们的付费服务。

开启过程其实很简单。

一、wordence开启2次认证

1.下载Google的一个app——Google Authenticator

在play商店里面就可以找到,就只需要这一次魔法上网,下载好以后就可以直接使用。

2.找到login security

找到wordfence——login security,点击进去,用下载好的Google AutheGnticator扫描左侧的二维码即可

3.下载右侧的恢复文件,并输入上一步得到的数字

先下载好右侧让你下载的文件,再将上一步Google AutheGnticator扫描后得到的数字填入下框即可完成

这样以后登陆的时候,当你输完用户名密码之后会继续进入一个页面,让你输入Google Authenticator上的数字,这样虽然过程多了一步,但是网站的安全性能也再一次获得了提高。

二、使用wordpfence过程中遇到Unable to make changes to .user.ini

如果我们用的是nginx环境,我们在优化它的时候可能会遇到.user.ini文件下载以后还是不能成功优化。

这个时候就需要我们手动去修改配置文件了。

1.在服务器上找到我们的wordfence-waf.php 文件

可以通过宝塔的搜索功能查看,如果有就前往Wordfence的Tool -> Diagnostics

2.查找wordrfence-waf.php文件

找到存放wordfence-waf.php文件的路径。例如你的目录写着/www/www.yourdomain/wordfence-waf.php

3.将代码写入 .user.ini文件中

; Wordfence WAF
auto_prepend_file = '/www/www.yourdomain/wordfence-waf.php'
; END Wordfence WAF

就按上述代码,将他们写道 .user.ini 文件中即可。刷新以后你就会看到优化完成了。