当Apache日志中有许多对/wp-login.php的POST请求时，这意味着什么？

这些消息定向到我服务器上的WordPress网站。这些来自access_log，我不知道这是否会让我担心。

同一消息有数百行，每次跨越几秒钟。如果您不明白我的意思，请查看以下日志：

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

我只是对这两个IP地址的所有实例进行了计数，自22日以来，它至少被访问了100,000多次。

apache-http-server logging wordpress

— 特拉维斯
source

Answers:

有人试图强行登录您的登录页面。HTTP POST请求用于HTML表单数据，在wp-login.php页面的情况下，很可能是用户名/密码表单。

特别是对于WordPress，您应该阅读此Wiki页面，其中提到了采取和保护实例的许多有用步骤，例如：

不使用admin用户名
选择一个强密码
使用插件在WordPress，Apache或服务器级别限制登录尝试
htpasswd-保护页面（在生成器的帮助下）

无论如何，设置fail2ban是您绝对应该考虑的事情。这将限制某个IP尝试登录到您的计算机的次数（例如，通过FTP，SSH等）。

— slhck
source

我尝试设置fail2ban，但随后无法访问我的服务器。能够使用安全重启，但无法删除它或其他任何东西。我搜索了我的问题，发现使用Centos 7的其他人也遇到了同样的问题。对我来说幸运的是，服务器上什么也没有，所以我只花了几分钟就重新安装了操作系统。

— travis

啊，那很不幸。我的CentOS服务器上没有任何问题。通常，它不会干扰太多。

— slhck 2014年

值得考虑的另一件事是PeerGuardian。

— 仿人2014年

@travis当您具有基于密码的SSH登录名时，这是可以预期的。您应该考虑使用SSH密钥进行身份验证，并完全禁用SSH基于密码的登录名，更改服务器上的默认SSH端口可能也是一个好主意

— 年

@glglgl这是一种威慑作用。它阻止了某人“我想知道这是否不安全...”-不会阻止定向攻击，但会阻止一个偶然的黑客。“在其他地方更容易。”

看起来是蛮力入侵企图进入WordPress网站的管理控制台。我一直在我的WordPress网站上获得这些信息。如果您有一个名为admin且密码为“ pass”的用户，那么他们现在肯定会进入。

安装一个安全插件，该插件将在一定次数的登录尝试后阻止IP地址。我使用Wordfence。

— 仿人
source

这些IP地址似乎来自旧金山和日本的CloudFlare CDN服务器，这有点奇怪。

— paradroid 2014年

我希望这意味着该站点位于CloudFlare之后。可能有一个可以使用的X-Forwarded-For标头mod_rpaf，但尚未设置为

— ceejayoz 2014年

@ceejayoz我不确定你的意思。由于wp-login.php不是静态文件，因此它也不会在CDN上。我不明白为什么这些传入连接似乎来自CloudFlare CDN服务器。也许CloudFlare也可以托管服务器吗？

— paradroid

您可以（通常这样做）将整个域指向CloudFlare。这意味着传入的请求（动态或静态的GET和POST）首先通过CloudFlare，因此将具有其IP。

— ceejayoz 2014年