最近jishu.website 的 blog持续被攻击，关注了一段时间，这是攻击日志：

我又查了nginx日志，初步分析应该是通过黑客工具进行攻击，因为很多请求都是404，且每天固定时间进行相同攻击。

GET / HTTP/1.1" 200
/jobs/ HTTP/1.1" 404
/ganglia/index.php HTTP/1.1" 404
/index.php HTTP/1.1" 404
/rs-status HTTP/1.1" 404
/master-status HTTP/1.1" 404
/dfshealth.html HTTP/1.1" 404
/warning HTTP/1.1" 404
/pleasereadthis HTTP/1.1" 404
/please_read/_search HTTP/1.1" 404
/hadoop/dfshealth.jsp HTTP/1.1" 404
/solr/ HTTP/1.1" 404
GET /admin HTTP/1.1" 404

攻击涵盖常见目录，以及大数据、搜索引擎等常见目录的暴力破解。其实404错误还好，我主要关心的是有大量的post模拟登陆博客。而jishu.website博客，不止一人使用，很可能通过长期暴力破解得到密码。目前wordpress的攻击工具很成熟了，最常见的如wpscan，可以很轻松获取到博客的所有注册用户。

为了避免因为暴力破解导致密码泄露，进而控制博客的后台，推荐一款安全插件：
BulletProof Security

该插件有很多功能，比较好用：
1. 一键安装向导
2. .htaccess网站安全防护（防火墙）
3. 隐藏插件文件夹|文件Cron（HPF）
4. 登录安全和监控
5. 空闲会话注销（ISL）
6. 验证Cookie到期（ACE）
7. 数据库备份：完全|部分数据库备份| 手动|计划数据库备份| 电子邮件Zip备份| Cron删除旧备份
8. 数据库备份日志
9. DB表前缀转换器
10. 安全日志
11. HTTP错误日志记录
12. FrontEnd | BackEnd维护模式
13. UI主题皮肤变换器（3主题皮肤）
14. 广泛的系统信息

设置选项也非常多，进入Login Security模块，默认包括登陆错误次数限制3次，登陆异常账号锁定60分钟等等，非常好用。

开启了保护以后，攻击者针对某个账号，进行多次破解，就会提示账号已被锁定，进而达到账号保护预期。

如果网站管理员也被登陆限制了，这个时候也是不能登陆的，即使通过找回密码，依旧不能登录，因为账号id已经被锁定。

官方给出了明确的解决方案（临时停止插件方法）：
1. 将插件/wp-content/plugins/bulletproof-security/ 重命名为 /_bulletproof-security/
2. 登陆博客网站
3. 恢复插件名字为/bulletproof-security/
4. 前往插件配置，进行账号锁定设置

具体参考：
https://forum.ait-pro.com/forums/topic/read-me-first-free/#bps-free-general-troubleshooting