当我检查我的 nginx access.log 时,/wp-login.php 上每两分钟就有一次请求(GET 请求后跟 POST)。
然后我记录那些 POST 请求(将登录页面更改为空页面并将 POST 请求保存到文件)。该请求包含登录凭据、正确的用户名和错误的密码。即使响应是空页面(可能是脚本),这些请求也没有停止。
然后,我拒绝 nginx 配置上的 IP 地址。第二天,同样的情况发生在不同的 IP(但相同的国家)。
困扰我的是该客户如何知道我的管理员用户名?wordpress 网站是这样的吗?因为这是我第一次在真实服务器上编写 wordpress。