|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
) u& {3 N/ }# K: \8 V% M8 Z
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。# A) [7 v$ h% _( d+ \0 z& g3 F% F
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。8 }. R0 [0 u K( w4 _; H7 y
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。
7 o4 Q( C. U! n本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
. S' R. I1 j( ~, f" Y/ B.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。6 W1 ]" z! l$ o: X$ X
WordPress加速和优化的免费Wordpress教程还有:! H2 M2 Z2 P' G- X, ?+ G
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板1 B1 m) U) E( K3 N4 F* Y
一、Better WP Security全能型的Wordpress安全插件6 i- v' s& T0 X" n4 K
1、Better WP Security官网:
5 R: [4 P4 Q7 J- K; I' O6 T4 z" [2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。, f" G/ B1 T, ~+ z/ O! b
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。' k8 L R( E2 s( b, i
: ~) t( o7 f4 g- r7 y+ J4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。- N2 J: p; S; ~2 z# n$ F
% u" a: V5 c& X4 B5、第三项是让你选择一键开启安全防护还是自定义安全设置。
4 w. \. p# x+ a) A! R- T
% k7 d3 S7 F. V* K5 i% k# t6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
( z* M4 L( v9 e/ W( ~ t
/ a1 @8 b& Z$ B4 f二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制
/ W+ K3 j2 N* \& I, n1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。# t' o5 l( C- Z% j# j1 N
, H2 |5 a9 j: u0 h7 E5 Q8 z2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。! C0 U" c8 u9 F/ I
" V: N5 F# x1 e- D3 B
3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
# g% v' _1 k' d9 H8 F+ w. g
2 `7 Z) Y# @5 R6 p- H4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。
$ Y2 a0 V o2 ]0 [2 W) |3 C- c6 B" u6 C" {& F- c7 i- ~
三、BulletProof Security功能强大的Wordpress安全插件0 R# K' }% P1 o( `0 s
1、BulletProof Security官网:) r" ?% L/ u/ j ?3 l- E5 b( p
2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)- b8 y& U" j: D2 c2 ~
/ D* t+ D9 V2 v! B5 o- Z, ^% s8 f. v- D
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。+ R2 Z+ ~ d, y1 c
) m$ {% I/ t8 j# H
四、使用Wordpress安全插件所带来的问题0 G7 x ^! T/ D8 w7 \
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。+ J/ v' T9 E# g/ `* I
5 K; o' }. o% N* J) p' M9 l4 i
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。4 I5 c" l* k6 A' E
五、用.htpasswd保护Wordpress控制面板7 l3 n, K C# r0 k
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。: h- H, z0 y* {
2、.htpasswd在线生成:- C; l# ]: N6 i# X2 w
3、先到.htpasswd在线生成页面中填写用户名和密码。
- x" h: R- B1 m: u. _4 w1 J/ S d V2 ]" X& v" C( v e% L
4、提交后会得到一串代码。
$ O2 M7 h$ k9 D7 O& m: }, Z2 w/ P" @1 {
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
( c$ c$ C5 T6 v; m* X7 k! }# [% p' E7 ^/ J D( f& H
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。: e2 W$ D& ^% b' O0 _/ j" E
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。2 V0 s& m. `1 z+ @- `- `1 I
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。4 @$ S+ M/ _$ Y! g& `8 R: L
' ^5 z' y/ a- {9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
& X& A# @# m1 E1 P0 Y10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。1 s* U0 f0 D# k/ }' K+ `
11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。1 ?0 u, o0 h, a, J6 s% G
<Files wp-login.php>
! ~& B! C$ T, t1 GAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd3 u5 h/ s$ w6 C
AuthType Basic, n, J& l7 {/ t1 a3 a. Z
AuthName "restricted"( z9 T* Q _% u* t6 \, E. k) Q
Order Deny,Allow
0 u/ w7 }0 k0 u2 mDeny from all8 N1 k# W) n/ A% Y! ?% q% @
Require valid-user
0 c5 U% s/ ~$ e) V1 q5 F& P. NSatisfy any, N4 o6 b- F9 b# d. ]5 p% U) Z
</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。& r# ~. i' @) P. o- v
- ~* p4 i* `. t2 u6 G3 i2 o
六、Wordpress防暴力破解小结; r0 Q. ^$ m$ |$ ~
1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。
+ n# P$ I' u7 x! B% R0 n2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。
8 z1 [. A+ n& N; Z文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 ( J) f$ @& \- A1 S, K
# K# L9 V5 y* E9 t7 t
|
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
1 I; ^& r/ v+ s/ ~
3 Z' y! v: ]* ~' j
m& I# Q! w7 I+ v
q1 p% q5 s# F
3 J, g: e! | B6 V
0 z! T+ c" l& B, B3 F& R
% |1 P- A* I! ^: q0 V0 f6 i) o
( z6 E: c+ x* w; Y6 E, [
* ^2 h. \% Y4 v/ V* S5 l
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
