很不幸,近期又收到 Adsense 的限制投放通知,说我网站有无效流量。
近期的广告费又要泡汤了。
无效流量要么是有人恶意点击,要么就是有自动化程序扫描、爬取我的网站,或者程序点击了广告,被 Google 识别出来了。
我的网站没什么名气,也没有得罪谁,被人手动点击广告的可能性倒是比较小。苍蝇不叮无缝的蛋,是不是我最近做了什么操作,打破了“蛋”,引来了“苍蝇”?
到网站后台查了下登录日志,原因逐渐明了。
前段时间我做了两个操作,一是为了能够在手机上快速编辑博文,我打开了 WordPress 的 XML-RPC 功能;二是前段时间收到比较多评论,我因为比较忙没能经常登录到后台审核,于是仗着有垃圾评论拦截插件,于是取消了评论审核。
登录和评论都是自动化程序最喜欢的,前者可以用于入侵网站,后者可以批量发送垃圾评论,引流打广告,所以需要重点关注,而我一次性把两个漏洞都暴露出来了。这是我的失误,毕竟之前还专门写过提高 WordPress 安全性的教程:WPS Hide Login + Limit Login Attempts Reloaded + 禁用 XML-RPC,保护 WordPress 躲开暴力破解登录
互联网上潜伏着各种攻击手段,所以一定要将权限最小化才能尽量减少被攻击的几率。
如果不知道哪方面薄弱也还情有可原,知道而不增加限制,那就是放任他人攻击,最终吃下苦果,就像我这次遇到的情况一样。
