WassUp Real Time Analytics

独立blog的一个麻烦之处是维护成本,你需要投入额外的金钱和精力,其实vps一年的费用不过几百块(经常有折扣),更多可能是系统维护对普通人(非IT工作者)来说代价略高。我在系统维护方面投入的精力极少,一方面是阿里云的vps确实稳定,另一方面是我折腾的也较少,一直使用的固定模板和写作方式。

独立系统难避免的一点是容易受到攻击,对于wordpress来说你需要尽可能保证它是最新的版本。另外有一个很好的插件: WassUp Real Time Analytics,能够帮你做一些访问统计,并在管理界面上很容易发现疑似的攻击。

攻击又来了

wordpress后台看到访问量在最近10个小时猛增,通常是遇到攻击,从日志里看到几万次的请求来自 mail.mknz.net 这个网站,应该是被黑了,成为了肉鸡来攻击其它系统。请求全部是在访问wp-login.php页面,又是尝试猜测密码。还好这里做过防御。

至少经历过好几次暴力攻击了,这个帖子记录一下被攻击的情况,下次再有的话会再更新。关于防御暴力攻击的方式可以参考这篇文章

//update 2014.10.15
攻击来源:82.196.3.83, 尝试login

//update 2015.1.12
最近很多xmlrpc的攻击,安装了一个”Disable XML-RPC Pingback”的插件后,有所缓解。

googleapis被墙,更换了一下博客主题

本来一直使用wordpress默认的主题,风格也挺好的,简洁、干净;但最近页面打开的总是很慢,在排除了服务器端的问题之后,通过浏览器定位发现每次都是因为某个css里要访问googleapis下的内容,而googleapis被墙掉了,导致资源加载非常慢。

要么修改默认主题里的css不要访问font.googleapis,要么换一个不会访问googleapis的主题。尝试了几个主题,现在用的这个还凑合,就是展示代码的效果不太好。先用着吧,有好的主题欢迎推荐给我。

注意恶意攻击

博客最近的访问记录里总能看到一些攻击者,想要访问wp的登录页;因为我的登陆页设置了不太好猜的参数,参数错误的话会被跳转到google,所以起了一道保护。这个经验也是我之前因为被攻击而学会的,曾遇到过一次ip显示来自东欧地区的攻击,大量请求在login页面,视图猜测我的密码,导致cpu被占满,博客无法访问。

最近又发现一些恶意攻击,视图猜测我设置的参数,类似下面的:

   13:45:20 ->/wp-login.php?action=register
   13:45:22 ->/wp-login.php?registration=disabled 

或许是年底了,cracker们也忙碌起来了?可这个技术博客有啥好图的呢。