|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
2 [( H( G1 s6 L. U" A1 Y正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。& P- f( A7 T5 C. R2 n- K
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。" o% x3 m" l1 B4 H# e7 f0 ]/ r
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。% Y+ P" e5 E% X1 D. a
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
2 b% s; T- w7 J/ y.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。% _$ J2 d" a, d6 j
WordPress加速和优化的免费Wordpress教程还有:( {) v( Y& I5 y* j" E# J
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板( m1 Q9 ?$ ?2 K" s& a9 _
一、Better WP Security全能型的Wordpress安全插件
- W# N" }0 z" R6 c# @1、Better WP Security官网:
# s7 R9 _* b$ w# v2 Q$ I& P2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。1 y/ v+ E4 ]0 r2 h# `9 _
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。
0 b& A3 r: {, s+ k- {+ v* E- J/ M7 c$ r( B. Y6 D# _
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
, M0 s$ L( V* n/ A/ u! E) M. G( z z- }3 R
5、第三项是让你选择一键开启安全防护还是自定义安全设置。
1 }3 b8 s( L. i4 F: @9 g" ], \$ T3 o; h- a3 o+ Z( d
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
* j% v* f9 x/ q! T8 P y1 U; i4 B E$ E! @( W) L4 R- G
二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制$ d+ C) k k- w! q* C, c
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。. k+ y+ H& T; x$ Q
. ?% }4 H5 p4 ^2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。8 t1 S- O, `2 ]: a7 o* E
$ ?" ^" K) p+ t) p! S2 r# q3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。, Y. |6 S1 r c2 U, i
* ~0 Z; \; v+ V+ Q/ b6 I# o4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。2 z7 d7 F1 R, X
. Z& ?, I$ e) c8 y$ A$ u- }
三、BulletProof Security功能强大的Wordpress安全插件: r& E$ r3 \& v0 B
1、BulletProof Security官网:
4 a: v) ^, n! z6 }" n4 \9 O) L. g2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)% k# M7 E" ~6 N. D: P
0 C6 u5 h& E2 Y3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。5 M& U% Y+ r- O0 Q& a
) @) y2 O7 C, X$ g+ f- d" x四、使用Wordpress安全插件所带来的问题$ d) i5 s: [$ }+ d
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。) D$ h$ W' i% `( V" U
6 w0 }: K: Y( O1 B' N& v2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。, _% \+ \5 C2 [8 y2 F4 E
五、用.htpasswd保护Wordpress控制面板
0 Q* O# R6 U ~9 r# J) N1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。
& y( d) ?* P+ [. O6 f0 d2、.htpasswd在线生成:5 h) p9 B5 h ]* o/ H; ^9 g( K. x; c
3、先到.htpasswd在线生成页面中填写用户名和密码。
' C6 _0 r' `) N$ V2 K, j1 t( z( R. _+ E3 P" z# N
4、提交后会得到一串代码。
( d- I- M4 o4 Z& n7 H$ H5 b9 M( r6 `4 @5 k# @
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
) i4 C% ?$ o: |- ] w3 ~% Z% `8 h" y' v8 U% t
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。/ y6 f6 R. b0 y
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。
9 m+ p, z" v; R( ~$ m+ j8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
0 P M' f2 B) }& e
4 `* g/ z7 Z: v9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。5 p0 j. O* ~ ? O- [7 B9 M
10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
; N0 @0 {2 P! K9 f7 _11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
/ P3 S r6 d0 t- D<Files wp-login.php>
% Y: Z) c8 r: q' {AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd0 z6 x j. A" s: _( [
AuthType Basic
D: n" g) S8 x4 b/ p/ I& }7 zAuthName "restricted"9 c, P1 Q& t) l0 R% p7 B# l
Order Deny,Allow
- W2 r2 |8 z! L2 T* h5 U YDeny from all4 r: o u( O# R
Require valid-user
" Y8 R9 D; Z2 \2 hSatisfy any
% a4 D! ^ }- ?7 M" Z8 O1 J! R</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。. i; j4 F- `: O
& R( b- S: N2 Z. Q' q
六、Wordpress防暴力破解小结
0 i% Z) O- R7 S1 U! Z! P' t1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。
9 ?1 v$ y6 W% t; ^( {: H1 D2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。, Y0 O9 @3 R4 s% M
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 ' |/ M9 C" i# n2 q/ o
( q: T& X8 M9 k/ ] |
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
3 l0 [; `* O+ @3 _3 N
5 x" z5 i/ i4 @) J5 B1 U
1 p/ w* L% C% X2 C4 V/ }, m
2 |0 `8 @4 d# O, u; _' U' d
9 r3 l+ {* K: |4 s5 m- G! b/ D
+ N Z- Q; _9 y; W# s. e
! x! e9 x! F2 {8 q1 R/ l% R, a
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
