今天上 ns 看到了一个帖子，建了个Wordpress站，一直被扫xmlrpc.php，怎么办？，楼主说有 ip 一直扫根目录。想到我根目录一点防护没有，马上去学习了解下。

尝试了以下的几种方案

1. 重命名后台目录：一个简单有效的“障眼法”，但如果程序（如此次的Typecho）内部有硬编码路径，会导致500错误，兼容性是其短板。
2. 插件防护 (LoginProtect)：在应用层拦截暴力破解，简单易用。
3. 服务器IP白名单 (Caddy)：一种非常强大的防护手段，但对于IP地址动态变化的用户来说极其不便。但是每次都挂代理进入后台就没什么问题。
4. 二次验证 (2FA)：抵御密码泄露的终极防线，它回答了“如果攻击者知道了我的密码怎么办？”这个问题。我给我的 typecho 添加了 2fa。Typecho 多用户二次认证插件 - 两双筷子
5. Cloudflare Access (Zero Trust)：可能的完美方案。它在网站前面增加了一个身份验证层，可以通过 github、邮箱、Google 验证，与IP地址无关，极其安全，且对个人免费。但是我的主力域名没有托管在 cf 上，不能给主力域名添加。尝试了下给回源域名添加，似乎无效。但这个给了我一个很方便很有用的方案。

使用 zero trust

最终安全措施

1. 及时更新 typecho 的最新版本。
2. 使用安全的插件和主题。
3. 使用强密码登录。
4. 使用边缘网络进行访问控制：通过 Cloudflare Access 将后台与公网隔离，只允许自己通过验证后访问。
5. 使用二次验证。
6. 对于博客的评论：typecho 对于XSS 和 sql 注入已经有了一定的防御（这也是要及时更新 typecho 的原因），安装一些插件防垃圾评论。