防止攻击 - Wordpress登录邮件提醒


Wordpress不像Dedecms,可以任意的修改后台管理目录文件夹的文件名,防止有人恶意穷举登陆来破解密码。随着 Wordpress 的发展,关注的人越来越多,漏洞也越来越多,我们更应该注意自己的后台安全。

为了防止博客被人穷举登陆,可以使用下面的代码来自动发送邮件提醒自己。

首先需要确定的是空间有无邮件功能,此功能需要邮件功能支持,测试有无邮件功能的方法:登录界面点击“忘记密码”,有邮件发到你邮箱就有邮件功能。

一、登录成功提醒

这种方法就像银行的登录提醒一样,如果有人登录了系统,就会发一封邮件到邮箱,提醒你有人登录了,如果当时不是你登录,就要引起警惕了。将以下代码放入主题的functions.php中:

/*****************************************************
 函数名称:wp_login_notify v1.0 by DH.huahua. 
 函数作用:有用户登录wp后台就会email通知博主
******************************************************/
function wp_login_notify()
{
    date_default_timezone_set('PRC');
    $admin_email = get_bloginfo ('admin_email');
    $to = $admin_email;
	$subject = '你的博客空间登录提醒';
	$message = '<p>你好!你的博客空间(' . get_option("blogname") . ')有登录!</p>' . 
	'<p>请确定是您自己的登录失误,以防别人攻击!登录信息如下:</p>' . 
	'<p>登录名:' . $_POST['log'] . '<p>' .
	'<p>登录密码:' . $_POST['pwd'] .  '<p>' .
	'<p>登录时间:' . date("Y-m-d H:i:s") .  '<p>' .
	'<p>登录IP:' . $_SERVER['REMOTE_ADDR'] . '<p>';	
	$wp_email = 'no-reply@' . preg_replace('#^www\.#', '', strtolower($_SERVER['SERVER_NAME']));
	$from = "From: \"" . get_option('blogname') . "\" <$wp_email>";
	$headers = "$from\nContent-Type: text/html; charset=" . get_option('blog_charset') . "\n";
	wp_mail( $to, $subject, $message, $headers );
}
 
add_action('wp_login', 'wp_login_notify');

二、登录失败提醒

第二种方法我就得比较有效,有人尝试登陆你的系统,但是没有成功,这种反复尝试的动作本身就需要被记录下来,发给博主,这样,只要有错误的登录,就会发一封邮件到自己的邮箱,将对方尝试的登录名和登录密码发送到你邮箱。将以下代码放入主题的functions.php中:

/*****************************************************
 函数名称:wp_login_failed_notify v1.0 by DH.huahua. 
 函数作用:有错误登录wp后台就会email通知博主
******************************************************/
function wp_login_failed_notify()
{
    date_default_timezone_set('PRC');
    $admin_email = get_bloginfo ('admin_email');
    $to = $admin_email;
	$subject = '你的博客空间登录错误警告';
	$message = '<p>你好!你的博客空间(' . get_option("blogname") . ')有登录错误!</p>' . 
	'<p>请确定是您自己的登录失误,以防别人攻击!登录信息如下:</p>' . 
	'<p>登录名:' . $_POST['log'] . '<p>' .
	'<p>登录密码:' . $_POST['pwd'] .  '<p>' .
	'<p>登录时间:' . date("Y-m-d H:i:s") .  '<p>' .
	'<p>登录IP:' . $_SERVER['REMOTE_ADDR'] . '<p>';	
	$wp_email = 'no-reply@' . preg_replace('#^www\.#', '', strtolower($_SERVER['SERVER_NAME']));
	$from = "From: \"" . get_option('blogname') . "\" <$wp_email>";
	$headers = "$from\nContent-Type: text/html; charset=" . get_option('blog_charset') . "\n";
	wp_mail( $to, $subject, $message, $headers );
}
 
add_action('wp_login_failed', 'wp_login_failed_notify');

推荐使用第二种方法,第一种如果你经常登陆后台的话,会造成邮箱大量邮件积累,但是安全系数高,正如作者所说,对于非自己操作的登录,能迅速判断出来,毕竟很多攻击者登录后台的时候都是已经窃取到你的账户密码了。不过至于反馈邮件,你要是跟我一样习惯离线使用WLW发布的话就无所谓了。对于自己账户密码安全有信心的朋友可以使用第二种方法。目前烙印已经加入此功能,如果有人愿意尝试穷举登陆,不介意将他加入访问黑名单。!

来张测试效果图:

2011-05-01_001729(001)

参考来源DH 博客 ,感谢DH.huahua。