|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
: ~, x' n0 q, P3 F5 G
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。) b. {' o$ n0 |1 f- M
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。
* j1 w- `: ~* w7 ^* {WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。0 \4 i. w+ u* q3 b6 [9 |5 w
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。9 g. H0 ?- g% ? F3 y% U7 ~
.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。+ C } I/ q/ b c/ N3 N+ ]
WordPress加速和优化的免费Wordpress教程还有:7 Z0 S4 O% ?; ], ]7 K2 p$ \
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板; `/ T! Z3 C6 p9 u9 [" V4 q
一、Better WP Security全能型的Wordpress安全插件
6 g+ n& E3 e& J$ b2 A C1、Better WP Security官网:9 x8 ^, X ?3 D
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。0 i W. }. l6 T C+ m
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。
0 o! m6 k; \) R: o' M1 \5 S' A4 R: ?7 w/ q
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
3 n5 F6 w- O2 S, s4 [: B
' d3 ~+ d W9 b* Y- O/ _( ~5、第三项是让你选择一键开启安全防护还是自定义安全设置。
$ y% i: [3 X7 m1 O# s D
* L2 S* y+ P1 R5 g: Q. j6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。3 I& D( n7 w) e+ n1 q/ K
1 ?0 m' G3 C3 F! Z0 a3 S
二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制
. {4 f5 ?/ l1 K; s! j) X3 T1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。1 B: e% R6 R5 u1 K4 C) g
! M6 _+ W5 p# Q o+ c/ M& I3 P4 }2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。- d: ]* b/ i1 b
$ w9 ?/ M! k8 G5 v9 w3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
6 h& X |; g% B' n+ H
/ K, K) s( q% _6 n& R4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。. G0 `- z6 S4 \# Y6 m
$ y. C: Y3 U$ X. H$ }
三、BulletProof Security功能强大的Wordpress安全插件# f% ~2 Y/ E8 ?# C+ F. C @! x
1、BulletProof Security官网:
3 _7 G2 a5 B; J# `2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)
5 {! F0 E. ~; R- Y0 ]
" _. A3 i2 K; O9 b4 z% ?3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。" X4 q7 H8 m7 T7 a/ [
1 ?1 C- A8 q; m6 I M9 n* t* s
四、使用Wordpress安全插件所带来的问题
' I4 L3 j& {0 s' @; L0 D8 s& p1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。
: A2 b0 l' N* V1 S) w; I$ R# i" ]5 b. t+ `7 h9 Q: Z3 l
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。' e8 p7 z% H+ [3 [) _1 A7 G. ]
五、用.htpasswd保护Wordpress控制面板
+ M9 X+ ?0 O5 U7 c/ z7 c1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。
9 v& {( b. |2 V1 Z6 k2、.htpasswd在线生成:$ u [( c/ o, `, D7 g# D0 a9 [
3、先到.htpasswd在线生成页面中填写用户名和密码。+ r& M2 [5 V9 d0 x. k
5 F# N, A4 N3 Y2 E1 {* a
4、提交后会得到一串代码。% M0 Z# t- e% n9 t4 z( I
2 ~: P2 ?% ]. G/ b0 }$ H5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
2 J7 ~/ C# }8 b
/ Y6 U& Z! A: t8 l* w% M1 O6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
: R7 z4 X: Z! I$ bAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。
, x9 H6 [4 o; }7 x* z8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。/ a4 M1 U/ f4 y# q; E
2 E# g6 a& n& @
9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
3 m; i1 o& \2 u10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。# H: q$ ^9 H( X4 | V" ?2 ^3 I9 Z1 K! p
11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。2 y4 s: d8 [ q) H/ _" d3 I* K
<Files wp-login.php>
# O( ?' t5 ]0 D/ P8 d, D/ E' JAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd' b2 `# s% G H; k
AuthType Basic/ p, f. j# _2 K( s3 W
AuthName "restricted"
% Z, I2 H0 t0 q0 q+ k% B1 t8 rOrder Deny,Allow# I/ J5 R' x1 p* }3 @. g8 {
Deny from all
4 A, p6 Q5 x) x2 D8 lRequire valid-user+ h! i7 H; v, A
Satisfy any
: ^7 @& }; M4 q) U, ^9 G; F</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。1 M; m5 v: M# \( R H8 f0 b0 B
: z2 i9 P5 ]# P- W# a) o: w3 G
六、Wordpress防暴力破解小结9 \, B3 Y" g" l8 v- o
1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。$ n2 p' z9 ?- k1 M. g, V6 A
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。
5 S' K1 ]( P% E$ S7 g$ h文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 ( w ]5 L9 Q$ J7 I
3 S. Q' E. u2 Y$ t- l' w
|
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
2 Y, s, }! M$ @, m' Y- G9 M
1 x) W3 K4 d5 _
# t: C* L/ n! ?# e; \2 m
7 R( k( K8 i2 e0 w; D
" |% t0 p9 C2 q$ J
7 a6 I1 p1 h9 M: }
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡