WordPress遭遇密码暴力破解

On

今天发现我的blog很慢,老是不能访问,进到AWS的后台发现CPU出奇的高,使用top查看显示大部分cpu是httpd进程占用掉了。 像我这样的个人博客,又不是什么知名人士,不会有这么多访问量呀。奇怪。 tail了一下apache的access log,发现有大量的ip不停的访问wp-login.php和wp-cron.php。看样子,是在尝试请举密码呀。怎么会有这么好的闲情雅致啊! 开始我尝试在.htaccess里添加deny纪录,但是效果好像不太明显。而且过来的ip还挺多的。 后来就不停的用tail查找,过来的ip,有新的就加到iptables里去。结果加了一大堆,也不知道有没有误杀的 iptables里添加了那些规则可以使用iptable -L查看。 如果真的有误杀的,可以通过iptables -D命令取消对应的规则。 如果搞乱了,也可以使用iptables -F清空所有规则。 关于如何使用iptables,NetTuts上有一篇很好的文章:The Linux Firewall,简要讲解了iptables的管理,还介绍了如何用iptable做NAT。 但是被动的封ip有时候还是太慢,要盯着,不能自动完成。后来就看到了这个在Wordpress里限制密码重试次数的插件:Limit Login Attempts。现在基本上能满足防止暴力破解Wordpress密码的需求了。

WordPress蹩脚的批量修改界面设计

On

每次使用Wordpress的批量修改功能我都感到很困惑, 想半天才知道是怎么使用. 主要原因是因为, WordPress把其实应该是标题的Bulk actions直接作为批量修改选择框选项的第一项, 当选择该项时实际上相当于不进行任何批量操作. 虽然如此, 这时候旁边的Apply按钮还是可以操作, 按下去的效果就是进行了一次什么事情都不做的提交. 不知道Wordpress的产品经理有没有注意到这个比较奇怪的界面设计. 如果参考 Don’t Make Me Think的准则, 我觉得改成这样就挺好.

WordPress Google Map ShortCode

On

ShortCode是WordPress扩展其编辑器的快捷方式,能快速的实现一些常用的插入功能。 比如,你要经常在blog里贴程序代码,SyntaxHighlighter这个插件就提供了插入代码的ShortCode。 自己写一些常用的ShortCode也很简单,有人以Google Map为例,做了个示例。 在模板functions.php文件里加入下列php代码:

Avatar, ps WordPress Avatar

On

Avatar,此Avatar非彼Avatar,不是电影啦,是wordpress回复的的头像。 我看别人的blog的时候,看到回复里的人都有头像,但是我的blog里却不会,一直觉的很奇怪。Google了一下,看到wordpress从2.5开始就支持使用Gravatar了呀。我的blog虽然升级不怎么及时,却也是2.8的啦。怎么回事呢? 再Google,原来是我使用的这个theme不太好,大概用这个theme的时候wordpress还没支持avatar功能。这个theme的comments.php里是一项项写死的,而不是用wordpress的wp_list_comments()方法。 那就简单了,把这个theme的comments.php里关于显示回复的那段代码替换下就行了。