V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qiuai
V2EX  ›  2015

2015 年最大的愿望就是 wordpress 的 BUG 赶紧修复了吧...

  •  
  •   qiuai · 2015-01-01 21:32:07 +08:00 · 3125 次点击
    这是一个创建于 3645 天前的主题,其中的信息可能已经有所发展或是发生改变。
    28 条回复    2015-03-15 22:04:48 +08:00
    kmvan
        1
    kmvan  
       2015-01-01 21:46:37 +08:00
    什么bug?难道你也发现了?我还以为我自己一个人发现了漏洞
    qiuai
        2
    qiuai  
    OP
       2015-01-01 22:18:50 +08:00
    @kmvan 我现在每天都要用很多时间处理服务器的安全问题.就因为WP...唉
    kmvan
        3
    kmvan  
       2015-01-01 22:21:28 +08:00
    @qiuai 我现在每天都要用很多时间处理服务器的安全问题.就因为WP...唉
    报给官方吧,他们会很快解决的。如果是比较严重的bug,第二天就有修正版了
    anewg
        4
    anewg  
       2015-01-01 23:30:37 +08:00
    每天都处理一堆安全问题?wordpress 安全性bug有多成这样?确定不是服务器或其他地方有漏口?
    sumhat
        5
    sumhat  
       2015-01-02 00:47:58 +08:00
    是 WP 本身还是插件的 bug? 举个例子来看看
    diartyz
        6
    diartyz  
       2015-01-02 00:48:27 +08:00 via iPhone
    什么bug 求教
    lvfujun
        7
    lvfujun  
       2015-01-02 00:49:26 +08:00
    什么Bug快快放出我来修复.
    qiuai
        8
    qiuai  
    OP
       2015-01-02 12:08:24 +08:00
    @kmvan
    @anewg
    @sumhat
    @diartyz
    @lvfujun

    我说的是WP-LOGIN.PHP F5的问题.和现在一直没修复的爆破问题.
    sumhat
        9
    sumhat  
       2015-01-02 18:54:21 +08:00
    @qiuai F5 不能算是安全问题,爆破问题可以用插件解决,比如两步验证。
    qiuai
        10
    qiuai  
    OP
       2015-01-02 20:40:48 +08:00
    @sumhat 都无法解决对系统的巨大压力
    kn007
        11
    kn007  
       2015-01-19 18:29:28 +08:00
    @qiuai wp-login.php?什么问题?一直刷新带来的负载?
    你可以试试 http://kn007.net/wp-login.php
    直接访问是无用的,必须特定才可以,禁用了找回密码等。
    qiuai
        12
    qiuai  
    OP
       2015-01-19 19:17:45 +08:00
    @kn007 现在早就改成尝试密码了.我这经常一个报警就已经检测了2W次...
    kn007
        13
    kn007  
       2015-01-19 20:25:15 +08:00
    @qiuai 我晕,这么多
    qiuai
        14
    qiuai  
    OP
       2015-01-19 21:28:54 +08:00
    @kn007

    IP 5.196.5.116 has 24822 failed login attempts: wordpress2=24822

    只是随便翻了几条日志,就有这么一条...

    现在真的是每天都有几十万条的攻击.全是从国外过来的...我都想直接屏蔽掉这些地区的所有IP,又怕影响客户...做虚拟主机累啊...
    kn007
        15
    kn007  
       2015-01-20 13:47:44 +08:00
    @qiuai 你还做虚拟主机?我以为你只是vnet.link,话说延迟很大啊,经常timeout(测试的时候提示none of the name servers responded in a timely manner)尝试密码的话,用REFERER或fail2ban试试?
    qiuai
        16
    qiuai  
    OP
       2015-01-20 13:49:03 +08:00
    @kn007 我转给技术让他看看.
    kn007
        17
    kn007  
       2015-03-03 14:18:25 +08:00
    qiuai
        18
    qiuai  
    OP
       2015-03-03 14:36:40 +08:00
    @kn007 麻烦的就是虚拟主机是apache的..而且也没有什么全局的解决方案.现在是检测WP-LOGIN的频率,超过一个阈值就直接杀掉IP.
    kn007
        19
    kn007  
       2015-03-03 14:44:39 +08:00
    @qiuai 我的是站不多,全部都做了同样的保护。
    确实,如果是客户的,那就麻烦一点。
    对于小白,他肯定是简单就好
    qiuai
        20
    qiuai  
    OP
       2015-03-03 16:29:17 +08:00
    @kn007 是的.现在的很多客户都只管写文章,不管别的...昨天发现一个客户的站被黑了,好像被人传了个php的代理程序...结果一问根本不知道...都不知道装了多久了...
    kn007
        21
    kn007  
       2015-03-03 18:52:39 +08:00
    @qiuai 诶。。。这个只能再想想了
    kn007
        22
    kn007  
       2015-03-15 17:14:24 +08:00
    @qiuai hi,请教个问题,不知到你遇过没有?
    一个朋友遇到攻击,攻击者对/?p=random /?s=random_string一直请求,ip属于伪造,ua也是伪造的,各种随机。
    然后mysql就过载了,导致php过载,然后就502了。。。不知又什么idea没有?

    我现在在研究一个static page方案。
    第二个方案伪静态到html,交给nginx。但对于404的结果,php也是消耗资源啊。暂无想法解决,还在想。
    qiuai
        23
    qiuai  
    OP
       2015-03-15 17:37:44 +08:00
    @kn007 一个是对mysql的查询结果进行缓存.比如说hypercache.
    然后就是调整PHP的配置文件,看能不能调整一下.

    说实话,这个是没什么好的解决方案的,都是拿性能去顶.或者就放给他烂...
    kn007
        24
    kn007  
       2015-03-15 18:12:28 +08:00
    @qiuai 搜索还能通过外部搜索,禁用wordpress搜索。但对?p=就完全无解。任意一款插件都试了。。。。。。性能跟不上并发数啊。。。头晕
    qiuai
        25
    qiuai  
    OP
       2015-03-15 18:14:28 +08:00
    @kn007 你可以用防CC的方式来解决你的问题...
    kn007
        26
    kn007  
       2015-03-15 18:55:36 +08:00 via Android
    @qiuai 怎么防?求教下?
    没有重复ip,一个请求一个ip。
    qiuai
        27
    qiuai  
    OP
       2015-03-15 19:54:27 +08:00
    @kn007 把流量导入到一个不会发起mysql请求的地方.来清洗一下.比如说在页面上放个按钮让访客去点.
    或者加载完成后,等几秒再跳转什么的...
    kn007
        28
    kn007  
       2015-03-15 22:04:48 +08:00
    @qiuai 我也有这个想法。。具体实施没弄过,正在实验
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5896 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 82ms · UTC 02:01 · PVG 10:01 · LAX 18:01 · JFK 21:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.