这个要根据服务器不同的生产环境来采用不同的应对办法的，一般需要现在 WordPress 后台登陆的场景都是因为被恶意扫描登陆的情况下的。造成被这样恶意登陆的主要原因就是暴露了服务器真实IP，应对方法可以总结如下几个：

通过WEB服务器限制wp-login.php文件的访问

WEB服务器限制同一时间的并发访问数量和限定速度上限

服务器端加上带有WAF防御的 CDN 服务器（推荐360网站卫士和百度云加速）

服务器防火墙拦截屏蔽这类非法的恶意请求

当然，最土豪的办法其实就是在做以上这些措施的时候，变更一下服务器的真实IP地址，因为暴露了真实IP地址以后，这类恶意请求都是有针对性的，拦截和屏蔽效果会差了很多，同时也容易引来CC/DDOS攻击。

一个十年草根博客站长【明月登楼的博客】（imydl.com）熟悉 WordPress 、 Typecho 博客平台创建、运营网站，多年VPS服务器运维经历，实践经验丰富，在这里为您解答专业方面的所有疑问！

提前检查

服务器和网站漏洞检测，对Web漏洞、弱口令、潜在的恶意行为、违法信息等进行定期扫描。代码的定期检查，安全检查，漏洞检查。服务器安全加固，安全基线设置，安全基线检查。数据库执行的命令，添加字段、加索引等，必须是经过测试检查的命令，才能在正式环境运行。

数据备份

服务器数据备份，包括网站程序文件备份，数据库文件备份、配置文件备份，如有资源最好每小时备份和异地备份。建立五重备份机制：常规备份、自动同步、LVM快照、Azure备份、S3备份。定期检查备份文件是否可用，避免出故障后，备份数据不可用。重要数据多重加密算法加密处理。程序文件版本控制，测试，发布，故障回滚。

安全监控

nagios监控服务器常规状态CPU负载、内存、磁盘、流量，超过阈值告警。zabbix或cacti监控服务器常规状态CPU负载、内存、磁盘、流量等状态，可以显示历史曲线，方便排查问题。监控服务器SSH登录记录、iptables状态、进程状态，有异常记录告警。监控网站WEB日志（包括nginx日志php日志等），可以采用EKL来收集管理，有异常日志告警。运维人员都要接收告警邮件和短信，至少所负责的业务告警邮件和短信必须接收，运维经理接收重要业务告警邮件和短信。（除非是专职运维开发）除服务器内部监控外，最好使用第三方监控，从外部监控业务是否正常（监控URL、端口等），比如：监控宝。

故障避免预防

网站WEB增加WAF，避免XSS跨站脚本、SQL注入、网页挂马等漏洞威胁。程序代码连接数据库、memcache、redis等，可以使用域名（域名HOSTS指定IP），当出问题，有备用的服务器，就可以通过修改DNS或者HOSTS，恢复服务。建立应急预案机制，定期演练事故场景，估算修复时间。部署蜜罐系统，防范企业和服务器内网APT攻击。建立双活集群，包括业务服务的高可用，避免业务服务单点。服务器集群采用跳板机或堡垒机登录，避免服务器集群每台服务器可以远程连接管理。操作重要业务升级、迁移、扩容……之前，列一下操作步骤，越详细越好，实际操作按步骤操作，操作完做好记录。

事中操作

网站WEB增加WAF，发现XSS、SQL注入、网页挂马等攻击，会自动拦截，并记录日志。检查服务器数据备份是否可用。在处理需求和故障时，执行风险命令（比如rm、restart、reboot等）需再三确认，执行命令前，检查所在服务器，所在服务器路径，再执行！不要疲劳驾驶，喝酒不上机，上机不喝酒，尤其别动数据库，避免在不清醒的状态下，在服务器上执行了错误命令，导致数据丢失或业务故障。在处理事故时，一定要考虑处理措施是否会引发连锁故障，重要操作三思而行。

事后检查分析

实现网络安全可视化管理，可以看到每天有那些异常IP和异常URL请求，服务器集群开放端口列表等。能对全网进行安全策略集中管理。统一日志收集和分析。备份及篡改恢复功能，程序文件、图片、数据文件、配置文件的备份，故障回滚机制。对攻击日志进行深度分析，展现攻击路径、攻击源，协助管理员溯源。践行DevOps的无指责文化，尤其是在做事故分析时。事故分析重在定位原因，制定改进措施；

在刚刚过去的今年最后一个法定节假日里，除了现实景点中的人山人海，本就精彩纷呈的社交平台也同样十分活跃。不论是早上刚起床准备的早餐，还是朋友聚会，又或者网红景点打卡，日常/晒猫……人们已经越来越习惯于通过社交平台展现自己的生活，但随之而来的则是互联网上的个人信息安全问题，也受到了越来越多用户的重视。

日前，Facebook旗下即时通讯工具WhatsApp的一个修复安全漏洞通告，却让不少网友倒吸一口凉气——在修复之前，黑客可以通过一个恶意GIF动图触发攻击。也就是说当你以为只是收到一张动图，并打开之后，你的WhatsApp中的内容可能就会被盗用，其中包括个人信息和聊天记录等。要知道WhatsApp素来有“海外”的称号，因此这样一个漏洞可能威胁到的用户群都不会是少数。

虽然目前这一漏洞已经被修复，不过“一张动图黑手机”的场景，显然还是让部分用户感觉十分不好。实际上，随着近年来消费者对于信息安全的愈发关注，以及对相关技术的不甚了解，不少文创作品中总是会将黑客描绘得无所不能神通广大。譬如育碧旗下《看门狗》系列中，黑客几乎能“秒黑”进任何场所任何设备，而在去年一部广受好评的恐怖片《解除好友2：暗网》中，则直接将黑客设置成了最终BOSS。

而在现实世界里，各种匪夷所思的黑客行径也时常可以在各类媒体上见到。

就在大多数人还以为黑客只能通过U盘“黑”掉目标电脑的2016年，第39届IEEE安全/隐私专题研讨会上，密歇根和浙大团队的研究人员发现，利用声音攻击就可以使机械硬盘。并且研究人员在现场就利用一首改编的Katy Perry歌曲，让一台Windows 10笔记本电脑直接蓝屏，并提示硬盘出错。

除了诡异多端之外，最让人胆战心惊的莫过于黑客的无孔不入。网络安全公司Darktrace在谈论物联网安全时曾透露这样一个案例，黑客以一家大厅水族箱里的连网恒温器为据点，找到了滚动数据库，并将其输出到恒温器并传至云端。就这样神不知鬼不觉的情况下，内本应保密的数据被上传到了网络中。

当你手忙脚乱准备拆掉家中鱼缸的恒温器时，还有个不幸的消息显示，有研究人员发现，当用户在有智能灯泡的屋内听音乐或是看视频时，联动的智能灯泡亮度和色彩会随着声音的高低而发生细微变化，而智能灯泡所发出的可见光与红外光谱就可以被设备捕获并进行解码。换句话说，你家智能灯泡的亮度都有可能暴露你的这部分偏好。

由此不难看出，当一个高明的黑客全部心思花在你的信息上时，确实防不胜防。

看到这里，相信有不少网友都会感觉脊背发凉，总觉得刚刚还刷着傻乐的抖音、微博和，转眼就都不香了。

不过大家也先别着急，这种“传奇怪盗”式的黑客几乎没有理由针对普通民众，别看艺术加工后黑客仿佛简单敲敲键盘就能无孔不入，但其现实中所要面对的环境却非常严苛。譬如前文中提到的智能灯泡泄露信息，通过实验显示距离越远解析的图像质量越差，有效信息的获取基本要保持在50米范围内，而目标用户也只需一幅窗帘，就基本可以让黑客竹篮打水一场空。

考虑到付出的成本与收获，对于大部分黑客来说，能够一口气交出大量资金的企业或个人用户，才是他们的主要目标，并值得耗费大量精力。若是想通过无差别攻击“广撒网”，结果就很可能与前两年的“病毒”一样，最终被“黑客”云集的互联网安全企业火速解决。

当然，这也不意味着大家就能放下心来。实际上，对于大多数用户所面临的信息安全威胁，其实并不在于黑客的技术有多高级，而在于自身对信息安全的防范意识到底有多低。因此如果单论对普通用户的威胁，技术高强的黑客未必就有街头巷尾那些扫码就能领2元店商品的摊位来得可怕。

更直白点说，在日常生活中那些过于心大的上网习惯，诸如随意扫描二维码下载不知名程序，或者打开提示有风险的网站等等行为，反而更有可能造成实质性的信息泄露。

根据360安全大脑、360互联网安全中心发布的《2019年第一季度手机安全状况报告》显示，仅在今年第一季度，360手机卫士就累计为全国手机用户拦截恶意程序约480.8万次，截获安卓平台新增恶意程序样本约56. 6万个；360互联网安全中心则累计为全国用户拦截钓鱼网站攻击73.6亿次，其中PC端拦截量约66.6亿次，占比超过。

要知道这些恶意程序或者钓鱼网站，往往并非通过一些极为隐蔽的手段植入用户电脑或手机中。根据360方面的调查，超过7成的钓鱼网站就是打着境外的名号，以虚假的“丰厚收益”堂而皇之的诱惑用户进行下载。

面对这种现实，也就难怪相关专家学者一致认为，数据安全的真正边界并不在于技术，而在于用户自身。有选择的下载应用，不要见码就扫，甚至不定期修改各类密码等做好的防护工作，比起亡羊补牢可要有效得多。

【本文图片来自网络】

WAF，全称为：Web Application Firewall，即 Web 应用防火墙。对此，维基百科是这么解释的：Web应用程序防火墙过滤，监视和阻止与Web应用程序之间的HTTP流量。WAF与常规防火墙的区别在于，WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。通过检查HTTP流量，它可以防止源自Web应用程序安全漏洞的攻击，例如SQL注入、跨站点脚本，文件包含和安全性错误配置。

WAF的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对 HTTP 访问的 Web 程序保护。WAF部署在Web应用程序前面，在用户请求到达 Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。

WAF主要提供对Web应用层数据的解析，对不同的编码做强制多重转换还原为攻击明文，把变形后的字符组合后再分析，能够较好的抵御来自Web层的组合攻击主要抵御算法为基于上下文的语义分析。

WAF是随着目前Web一个用的日益流行，实现Web应用防护的一类新型安全产品，它与传统的IPS在某些防护效果上有功能重叠的部分（例如防止SQL注入攻击），但两款产品在工作原理、市场定位、功能特点、部署模式等方面存在显著差异。可以说，WAF防火墙是对运营Web应用的具备一定防护能力的网络环境的Web攻击防护能力的必要增强。IPS和IDS是该网络环境必备的基础设备。

Web防火墙，主要是对Web特有入侵的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵，从技术角度都应该称为Web IPS，而不是Web防火墙。这里之所以叫做Web防火墙，是因为大家比较好理解，业界流行的称呼而已。由于重点是防SQL注入，也有人称为SQL防火墙。

Web防火墙产品部署在Web服务器的前面，串行接入，不仅在硬件性能上要求高，而且不能影响Web服务，所以HA功能、Bypass功能都是必须的，而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。

一般说来，数据安全防护主要从4个方面进行，数据泄漏保护、数据权限保护、数据管理、数据加密。数据泄漏保护，顾名思义就是防止数据泄漏。通常业务装WAF，阻止黑客入侵业务防止黑客获取业务数据，也是防止数据泄漏的一种。阿里云推出了云盾WAF啊，云盾安骑士啊就是解决这个问题的。数据权限保护，也很好理解，就是管住自己人，不随便让自己人去拿数据。数据管理，大致是对数据做管理。数据要拿出去要审批，要符合各种规定。数据加密，就是对数据做加密处理。毕竟谁也不能保证自己不出问题，对数据加密的好处就是黑客啊，竞争对手啊通过各种就算获取了你的数据，那也是密文的，解不开。阿里云也推出了云盾加密服务，可以对数据做加解密。密钥只有用户自己管理，安全性很高。国家密码主管部门也审核过安全性。