本文使用「署名 4.0 国际 (CC BY 4.0)」许可协议，欢迎转载、或重新修改使用，但需要注明来源。 [署名 4.0 国际 (CC BY 4.0)](https://creativecommons.org/licenses/by/4.0/deed.zh)

本文作者: 苏洋

创建时间: 2015年01月30日
统计字数: 657字
阅读时间: 2分钟阅读
本文链接: https://soulteary.com/2015/01/30/brute-force-attacks-on-wordpress.html

-----


# Brute Force Attacks On WordPress

今天早些时候看到 Linux 又爆出了 glibc 的漏洞，顺手修复的时候看到了 WordPress 的一篇漏洞利用的文章。

这类手动其实在 2010 年的时候就曾沸沸扬扬的闹过一次，解决方案除了祭出 fail2ban 之外，还可以使用下面的方式来进行防御。

在 Nginx 配置合适的位置中添加：

```nginx
location ~ /(wp-admin|wp-login\.php) {
   auth_basic "Hello World";
   auth_basic_user_file pass.conf;
   try_files $uri $uri/ /index.php?q=$uri&$args;
   location ~ \.php$ {
       fastcgi_keep_conn on;
       fastcgi_pass   127.0.0.1:9000;
       fastcgi_index  index.php;
       fastcgi_param  SCRIPT_FILENAME $document_root$fastcgi_script_name;
       include        fastcgi_params;
   }
}
```

## 参考资料

- 原文标题：[WordPress4.0及以下版本Dos攻击漏洞（CVE-2014-9034）的检测和利用](http://www.freebuf.com/vuls/57543.html)
- WordPress文档：[Brute Force Attacks](http://codex.wordpress.org/Brute_Force_Attacks)