WordPress 作为一个市场占有量最高的 CMS，其登录页面 wp-login.php 每天经受不少的爆破尝试，以我的博客为例，在短短 24 小时内就被（尝试）爆破了 160 次

要避免这个问题很简单，我主要用了以下两种方式

限制登录次数

有很多插件可以实现限制登录次数，这里以Limit Login Attempts Reloaded这个插件为例

插件分为免费以及付费版，不过免费版够用了

安装并启用插件，转到插件设置页面，可以设置尝试错误密码多少次后拦截

以下是我的设置：

After a specific IP address fails to log in 4 times, a lockout lasting 20 minutes is activated. If additional failed attempts occur within 24 hours and lead to another lockout, once their combined total hits 4, the 20 minutes duration is extended to 24 hours. The lockout will be lifted once 24 hours have passed since the last lockout incident.

添加验证码

常见的验证码有不少，Cloudflare Turnstile, reCAPTCHA, hCaptcha 等等

我比较习惯用老牌的 reCAPTCHA

先创建 reCAPTCHA ，reCAPTCHA 类型可选 V2, V3 其中 V2 需要手动点击，而 V3 为无感验证

创建后会获得网站密钥及密钥，回到网站安装Advanced Google reCAPTCHA插件

启用插件后找到插件设置，填入 Captcha Site Key, Captcha Secret Key，输入后会弹出 Verify Captcha 按钮，验证一次后即可保存设置

找到 Where To Show 菜单，这里可以验证码展示的位置，我选择关闭评论的验证码（因为我会手动筛选评论，而且不希望被 JS 拖慢网站速度）

最后，不要用 admin 这类的弱密码…

不知不觉博客已经运行三年了，三年前创建这个博客的原因主要是想靠广告赚钱，到真的搭了博客后才发现博客是一门亏钱的生意…

无论如何，这个博客就断断徐徐的运行到了现在

博客的时间线：

• 2022.08 初代博客，使用 Typecho 及 Freewind 主题
• 2023.11 将博客搬到 NAS 内，用 Warp 穿透
• 2024.07 从 NAS 搬到 Github+Vercel 以及更换到 Hexo+Volantis
• 2025.08 从 Hexo 又搬到 WordPress

在博客三周年之际，从用了一年多的 Hexo 又换成 WordPress，下一次大改可能又是一年后

在换成 WP 后 Google 的收录又回来了，而 Bing 还是久久不更新

截至今天，网站的 DR 为 26

流量来源

在 7 天内，来自搜索引擎（Google 和 Bing）的流量最高，共为 30UV，其次为各博客聚合网站

• 开往 10UV
• 十年之约 13UV
• 博友圈 3UV
• 无聊湾 2UV
• BlogFinder 1UV
• 博客说 1UV
• BlogWe 1UV

以及各友情链接带来共 22UV

未来规划

• 做好 SEO
• 获取更多 Backlinks
• 发多点文章
• 降低成本

我认为，在 SEO 中反向链接是非常重要的一点，即便不能提升我的 Page rank，也能带来一定数量的访客

目前我获得 backlink 的主要方法是友情链接…以及评论，不过我同意一个观点：如果一个链接很容易就能获得，那它就没啥价值

无论如何，接下来尝试做点 SEO 吧

在 functions.php 添加以下代码：

function weavatar($avatar) {
    $avatar = str_replace(
        array("www.gravatar.com/avatar", "0.gravatar.com/avatar", "1.gravatar.com/avatar", "secure.gravatar.com/avatar"),
        "weavatar.com/avatar",
        $avatar
    );
    return $avatar;
}
add_filter('get_avatar', 'weavatar');

大部分 Adblock 默认会把 matomo.js 封锁，所以我们需要将文件”改名”
把 js 以及 php 代理，这里以 WordPress 安装的 Matomo 为例
如果你不是以 WP 安装，记得域名中也不要包含 matomo, tracking 这类关键字
Apache .htaccess：

RewriteEngine On 
RewriteRule ^wp-content/plugins/app/class$ wp-content/uploads/matomo/matomo.js [L] 
RewriteRule ^wp-content/plugins/app/class\.php$ wp-content/plugins/matomo/app/matomo.php [L]

或 NGINX 配置文件：

rewrite ^wp-content/plugins/app/class$ wp-content/uploads/matomo/matomo.js last;
rewrite ^wp-content/plugins/app/class\.php$ wp-content/plugins/matomo/app/matomo.php last;

另外`matomo.php?action_name=`也会被拦截，所以需要从默认的 GET 请求更换成 POST 请求，这里是修改后的代码

<script data-cfasync="false">
(function () {
function initTracking() {
var _paq = window._paq = window._paq || [];
_paq.push(['setRequestMethod', 'POST']);
_paq.push(['trackPageView']);
_paq.push(['enableLinkTracking']);
_paq.push(['alwaysUseSendBeacon']);
_paq.push(['setTrackerUrl', "\/\/example.site\/wp-content\/plugins\/app\/class.php"]);
_paq.push(['setSiteId', '1']);
var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0];
g.type='text/javascript';
 g.async=true;
 g.src="\/\/example.site\/wp-content\/plugins\/app\/class";
 s.parentNode.insertBefore(g,s);
}
if (document.prerendering) {
	document.addEventListener('prerenderingchange', initTracking, {once: true});
} else {
	initTracking();
}
})();
</script>