|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
" w" _% N) T( t# Y正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。
9 i* j# f6 J6 [/ F攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。 V+ q+ X+ R! | M' A3 W$ {
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。+ Y( T; B/ a Z. N( o, E; z
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
6 w! S+ Z8 C8 k.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
$ x$ }: l1 t. p8 dWordPress加速和优化的免费Wordpress教程还有:
5 R3 k$ g5 w6 `% C9 HWordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板: v6 E* |' L H b* A# e' n) p2 L
一、Better WP Security全能型的Wordpress安全插件
, ], d) O+ l% N9 h1、Better WP Security官网:
* [1 @) Z9 a4 x) k. r/ j& \2 k2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。
. V' E, i) H. x$ D9 g: ~3 x3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。. l5 K+ H* { \( Y: l" Y* w0 Q
$ t/ I) L; W. N, @& ~, g
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
7 U2 s& O4 e) {$ F
8 K% Q- `* t( ~3 C% x9 C2 p4 C5、第三项是让你选择一键开启安全防护还是自定义安全设置。! ?6 H8 p: ?" t' I+ f
- p5 d$ Q- R5 S9 ^. S" M
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。3 R/ U7 w1 Q# I1 J! ?' s' t) ]; ]
* H3 Y) N/ ?% ?8 u5 u二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制5 Z$ j5 x6 g6 f
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。
" O! I+ s9 E, a5 r1 p0 H$ P2 O' K& n8 ^; P7 |. Z
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。+ f; P5 n% S9 [3 [! L$ x
0 m) m# @) _( t4 B8 O$ y6 A
3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
3 E3 [, l! s, Q1 ?$ { ^; v( S( p, A! }& k( F
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。( ?( Y6 a/ B4 ^
) E& c) S7 c. U) r三、BulletProof Security功能强大的Wordpress安全插件- N/ i6 n4 s# O
1、BulletProof Security官网:% I/ ?& q! r$ V& j' l6 o
2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)3 l# H0 B' x3 B
8 f; m/ ^& ~0 Y) A) x& E+ D! j7 b: S
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
5 |7 \! U: A2 M! h$ }: O4 _9 V- ?6 \$ j3 Z' O7 I
四、使用Wordpress安全插件所带来的问题
$ Z0 |% [/ j) A# \1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。
+ y* @# F( ^! @2 V- Q9 Q" g' d8 z2 h0 z# z- f B ]
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。& D& U1 P, O# v
五、用.htpasswd保护Wordpress控制面板
8 ~* c; p. Y m6 p8 m1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。; e' ?$ R6 ? }/ N$ a& r& t; m
2、.htpasswd在线生成:
! D0 V# z: n L# z3、先到.htpasswd在线生成页面中填写用户名和密码。/ \( N. h( f6 a4 j1 H+ X; c6 ^+ U
! n5 Q' D6 O3 v \- [5 A3 s
4、提交后会得到一串代码。
& |2 I7 s! v! D' K$ G/ B- A5 F, }; g6 D1 m* Y9 k+ X
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。- ~: ~# d: e- D3 |$ R
! X, R# I* G& q6 J+ `, O
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
2 k; _6 A- {1 o0 a5 j) }AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。
9 p9 v- _ c" d/ A' {4 H8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
( r2 Q' x3 ?& c9 J5 b
: C! m2 Q8 x; M. P- N9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
& Y: x9 t5 R/ m& O+ K$ [10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
7 ~# D* k: Y+ k/ i( o/ Q6 l11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。' ~4 M! N5 R8 y
<Files wp-login.php>
" e$ i# A, R% X# h; Y, [AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd
# x$ |( w, _9 I. l( p4 l bAuthType Basic
% F7 ^; D0 p0 g% l. ]AuthName "restricted"
0 i9 r% d1 o" V; o8 m& _9 @Order Deny,Allow3 P4 H. }1 F, N9 E. v7 u
Deny from all
% c5 Y$ C/ U+ u! i H$ B2 }$ D# Q% GRequire valid-user" j2 H6 m7 \+ U
Satisfy any
. B, }$ o( _5 U$ Z</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。
/ k- S! s+ P! V$ Y' G4 j
) L. E8 }$ ~. ]4 p六、Wordpress防暴力破解小结6 o. I5 W0 x1 h4 c5 |* W, @' e2 o( J4 S
1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。
m; y) r: G) L1 E& Z2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。
: \2 x4 ]1 X: h+ m1 \) u5 _文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 ' F6 [2 w) u& j& G) }% s
; Q0 T2 K) Y0 F! }
|
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
2 Q( i+ b/ Q |+ P) j( ]( m5 }0 u
* o- u' i. ^$ v( {' p
% w/ [7 d3 B1 t# U
2 w; F$ F! C- z; H8 J; q
( b5 K$ T* T$ d+ H( `- F+ c' F
% N) e3 E4 Q* i( [
) x2 U" n8 w* y# w$ {8 B! ~
h0 k H4 I; h6 z2 l2 H
3 u. l, \! h4 b% E
, q* f/ B+ Y( G$ a
+ e k: K. x: E* F$ D
" R* a6 m& W: ^& e$ z! I# V
, z9 y5 y4 \$ l/ j& F8 w
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
