|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
, o7 C! T- X. F# h# d- K
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。: Z6 T5 ?4 @) f$ A) H
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。6 }0 S ^7 E. P7 f9 w
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。
5 I. ], Q) k7 i: s- `: j本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。/ d1 ]: ? c0 |9 E" s+ @6 v3 ]
.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
$ \* o) b8 I( c5 j1 d4 e) p1 hWordPress加速和优化的免费Wordpress教程还有: |: s( p) q! q3 g* V2 ^9 B' N
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板
; u9 W9 Q, `) A) M+ Q" ]一、Better WP Security全能型的Wordpress安全插件! }8 D: M! ?4 Q7 f) E8 o
1、Better WP Security官网:
) _/ u2 H" s, ^ o2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。# x; z- F$ N+ u: M! g s
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。3 p8 E, I, k4 ^, m K
6 A, \8 Y0 P+ L
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。5 n c- Q5 C: r9 p: k( k
+ |( p8 S5 n `2 c; s- g& I9 p5、第三项是让你选择一键开启安全防护还是自定义安全设置。: E4 n E% ]! G* V' V$ z
% q6 _ Y4 g+ ]0 x9 T) a+ k& o
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。2 n }( K2 l7 V$ c) k
, ~ r$ V5 N( F
二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制* F2 V# R) I. G; R. C
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。( x; x$ l7 s$ T+ d& Q( d& B
# j, S! w1 `: n4 V* w! W$ L
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
. G4 O0 x- B) F* _. Q
) n. P* Y5 u6 e6 A7 s3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。5 m, V/ L% o) R7 Z
3 X$ \0 j" Y% \. C- G
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。2 B& I: T& N" Q( Z' ]0 F+ Z
' x! Q8 V5 a9 ?9 L; E5 ^) F三、BulletProof Security功能强大的Wordpress安全插件* x" Z6 q2 p# f8 d5 w6 z& [
1、BulletProof Security官网:( A) J% { @, p0 h9 D; i
2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)
3 u5 k+ `9 v* \; f: p
# a& d) U& ? D5 X3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
, n3 D6 D7 ~1 z* [6 |. o- `/ o2 s/ I( G) W
四、使用Wordpress安全插件所带来的问题
8 }- P' K4 J- k% p; G/ e1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。
4 @: y: o' m" A8 z# G7 [& ~: ` P2 `
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。
. c/ N B: M. Q o+ _2 X. r: }- I& E五、用.htpasswd保护Wordpress控制面板; T( V% x y8 J
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。
: F- ?/ I2 X7 L, n8 v; k2 J2 {2、.htpasswd在线生成:
2 x( S! \7 M) W' j9 Y. W( e3、先到.htpasswd在线生成页面中填写用户名和密码。
' n: Q) B3 o" t! \) \, g8 Z
+ S+ M) v8 _8 @' o5 i7 S, o4、提交后会得到一串代码。' H, W- `! O) ^' `/ Z3 W
' r' {* d- E* n3 b7 ]/ Z5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
) }. u% u6 Y* t9 f; B! I: ~0 w5 ]2 W4 R1 `- {( P+ U
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
) [2 h6 v$ G- U8 c# N1 nAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。/ [5 @$ Z4 v: d7 [
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。) I9 Q% k3 | Y, \2 J. o+ K; t
- m9 M& ?$ N9 E1 s [
9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
6 h+ k, o* C) F* E10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
, e3 v! h! n0 H( {! @0 u* E: U, e11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
; M4 |6 t" z( Z! G<Files wp-login.php>- k0 c& O4 l1 ^4 T- G- u7 V% |) }# _
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd( I% c# g ^& s
AuthType Basic) G) u, ?% N5 W9 o) i+ X: }
AuthName "restricted"
[; g0 Z; g4 P7 F% COrder Deny,Allow
# {6 K$ I/ r, H9 P- ]& d0 V' zDeny from all
3 l& N* q1 U/ [4 j7 SRequire valid-user
w7 I6 d, H5 |* |( z5 `8 |' eSatisfy any5 s9 b0 G9 U% ]) Q# _. k
</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。 P7 {$ j: }) y
- H- p \3 x) l) K0 }0 T) [
六、Wordpress防暴力破解小结
9 Y& n& |( U s, w% F7 g) R1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。2 @- `5 [7 U) h& w% i4 m
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。 T4 L: ~" F6 u+ T3 T0 {0 H9 O
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 $ w, C" O1 G0 X4 h
& |/ B, l6 U; }! ?0 C0 E, R+ z |
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
5 x0 l- t6 C! z
' S7 O ?4 o) `( {+ o% A+ Y# z
r% R- F% U+ s
$ I+ f0 P5 F0 [0 W! X, k
" R B4 J2 L" c1 D
* E, R% p0 W. {9 x
: c0 y+ ? C' }& H" \# Q, A$ R
; B4 C+ f* ?1 f7 D8 b+ j
0 W) J0 J8 J3 m; P: f, l' Z0 r5 f9 l
. u: x; Z# m5 o8 u$ L0 s# p
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
