在vps上抓包分析telegram协议时,意外发现有人尝试登录我的wordpress后台,很是意外,看来安全意识不能没有啊。

然后我装了个wordpress插件simple login log来记录登录日志,实验发现并不能记录登录失败的日志,所以看了下simple login log插件源码,simple-login-log.php文件中有以下代码行,

if( isset($this->opt['failed_attempts']) )

因为对php语言不是很了解,也没太仔细看opt在哪初始化或者修改的,索性直接把以上代码全替换成

if( 1 )

估计simple login log作者这么做是怕有攻击者对你网站实施密码爆破,使得mysql数据库爆掉。

而后就能看到登录失败的日志了。

仔细观察一下时间,你会发现这些人还蛮专业,隔两个小时尝试一次,怕短时间内多次访问被禁掉。

有一些插件可以做一些防护,比如:WP Limit Login Attempts、WP-Ban等,但考虑到本来vps内存cpu呀就不够用的,我就没安装这些插件了黑客还是蛮多的,不过我这小站也没啥,任他们去吧

 

由于之前一直使用的http未使用https,最近在用https时修改Nginx配置文件导致除主页外其他页面404。
解决办法:

在nginx的conf文件夹下创建个wordpress.conf ,将下面的代码粘贴进去

location / {
try_files $uri $uri/ /index.php?$args;
}
rewrite /wp-admin$ $scheme://$host$uri/ permanent;

修改博客nginx虚拟机配置文件在 conf/vhost/www.lpeiqing.conf
在root /home/wwwroot/www.dapiqing.cn;那行下面,添加一行:

include wordpress.conf;

重启Nginx

lnmp reload

买vps两年了,之前主要功能就是shadowsocks翻GFW查资料(百度忒垃圾),哈哈哈,当然偶尔也看些其它东西;偶尔在上边写写test代码;

以前也搭建WordPress博客,但是一直没写啥。这次趁着重装系统重新搭了一下WordPress博客,在这儿记录一下。

写的很笼统,只是一个纲。有啥不懂请点击www.google.com,本就不是写给不熟悉linux环境的人看的。

lnmp

LNMP(Linux Nginx/MySQL/PHP)

lnmp的安装可以到https://lnmp.org/install.html查看教程。

  1. 安装直接执行wget -c http://soft.vpser.net/lnmp/lnmp1.4.tar.gz && tar zxf lnmp1.4.tar.gz && cd lnmp1.4 && ./install.sh lnmp即可(wget获取安装包,tar加压安装包,cd进目录,执行./install.sh脚本)
  2. lnmp添加虚拟主机 https://lnmp.org/faq/lnmp-vhost-add-howto.html (前提是你要买域名,我在美橙互联注册的),这一步可以放到解压完WordPress后做。  请记住你填写的信息,安装完会打印一个信息汇总,也可以复制粘贴保存起来免得你忘了。

lnmp命令蛮好用,在自己不熟悉Nginx、php的情况下,直接使用lnmp集成的命令更加容易些也会避免一些错误。

Usage: lnmp {start|stop|reload|restart|kill|status}
Usage: lnmp {nginx|mysql|mariadb|php-fpm|pureftpd} {start|stop|reload|restart|kill|status}
Usage: lnmp vhost {add|list|del}
Usage: lnmp database {add|list|edit|del}
Usage: lnmp ftp {add|list|edit|del|show}
Usage: lnmp ssl add

继续阅读