|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
+ }5 I, ]3 C8 L3 M
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。
6 o$ p0 _6 b+ C) ^' q8 j+ j z) T攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。
5 Z+ x- M8 x7 Q9 K' ~4 Q0 RWordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。
1 E0 X5 Q5 ~7 @" i* g! \本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。- F- B7 V: j& ~& K" Y& a
.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。+ i* J; F6 m4 Y: H3 q* c
WordPress加速和优化的免费Wordpress教程还有:) ~# [' g5 Y4 Z% Z0 k; |+ w! E
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板1 j0 m& l; ^6 m+ h5 W' R3 ^
一、Better WP Security全能型的Wordpress安全插件 X5 `4 F1 S) {* R
1、Better WP Security官网:/ j* m- P3 p1 H7 ?$ I* Y
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。' G' G$ V1 {2 B7 K
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。
& V3 H6 @+ t# N- \
% b K$ j. t" c' U4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。* O, I0 U h! W, F0 M
! @8 h$ h8 N/ O9 {. A
5、第三项是让你选择一键开启安全防护还是自定义安全设置。. m- ]4 U# J6 s" g
- v1 \+ {$ b' F: J
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
' v+ W0 U- [. V8 H b: Q; s' Q: s# K U& |
二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制8 I/ w( f+ T/ M8 w: f
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。
$ S; X6 H- @1 J, q; i
( H9 V! R: W; @# _1 d* k2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。: s' {- P, j! L) f3 U* C
& X' G* j4 a r+ K( j( L% B
3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。2 x& _$ I* w5 [2 ?: `4 l: _. L7 V
" Y3 c+ J& P3 ^& J7 m6 p, x4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。
+ r/ ~4 e3 u2 u4 W# `& p# Y6 b7 l' A* C5 G4 Q7 p% s6 `
三、BulletProof Security功能强大的Wordpress安全插件
- \# u! G s) r5 }1 u5 C: w" m1、BulletProof Security官网:& o2 g, Q- a7 x
2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大); Q8 m5 Z* a. j/ L7 \
4 Y, C4 m) [; {' u4 R; \
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。1 w5 A1 D( y( |8 s
) M- a2 W1 U+ k; i2 B
四、使用Wordpress安全插件所带来的问题- X* R+ @& X' Y# @
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。
) u/ P- L2 j. E4 i, A) L
6 [7 A: [3 X b4 U! p2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。
. L& T' F5 m( e: q& d2 C& |. J五、用.htpasswd保护Wordpress控制面板7 P* f2 Y1 E s4 S/ [3 t' W0 v: W
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。- x% _5 X" ?6 J; S; M) [/ x
2、.htpasswd在线生成:
3 \+ E# j% [6 M B) f3、先到.htpasswd在线生成页面中填写用户名和密码。, E; ~/ j- A3 @) [. ?$ t$ G
# m. m+ b# w. l4 L) j
4、提交后会得到一串代码。
. n6 F6 q0 D Z) Z; Y1 }
n' R3 E. l) k% W) F9 o X+ n; T0 C+ O) b 登录/注册后可看大图
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。- F, E4 J0 y+ O
; ]' B1 I+ [; _- h1 z. i# u9 Z2 y% f6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
4 }2 c( ^, t6 [; p% X0 TAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。
7 Q% E4 |" F# x: K+ \; ]1 I& I8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。5 `% g' L v b ` ]1 Q6 k
# d$ [( q$ B3 K: A) o
9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。' v7 o% {8 R" O m9 Y9 d
10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。( B; q0 g7 x) Q2 {5 w2 g
11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
4 b' m, J1 P& F/ _; D' T7 K8 \5 D<Files wp-login.php>
2 g! f# w4 n+ r% k. O* pAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd! }3 T5 s/ |5 a) b' d: K) E
AuthType Basic, T# Y: ]5 V8 M, j
AuthName "restricted"- f" \7 X, p6 X" ?" M
Order Deny,Allow2 m: ?+ O% \7 l
Deny from all
! [8 H. g7 O! b* f2 m. cRequire valid-user
( J9 X( h4 c' J" ?% k9 _6 |) k5 ]Satisfy any
, \" T% y5 |2 U, M1 d</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。
& h7 k, E" _3 a; m9 O0 [' n9 H4 u$ l1 V# E; n
六、Wordpress防暴力破解小结 o8 ]9 {- l# I/ @+ o4 X2 x. p' a
1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。1 l: h1 r- ]% }. q$ W
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。& }2 m% e4 m8 [5 [9 e% Q
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 9 c& D2 y' r: d
4 K: I: S _# g' b! S/ k* M# B
|
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
0 m8 p4 Q" q& e8 \/ U8 F) Z
6 X6 Z2 x' \, h1 e5 l. Q, J& i
& m2 v& d/ i/ M5 V1 [* {
; g; C; l Y. _% _1 G" b6 N
, D6 {$ x8 @6 R, G" G9 D! { P" \+ z2 M
5 e) @) v. a( x$ \
+ {$ L8 M- w. L8 O" `4 \+ R
+ N! F! c& S! E/ ]# o; T, N/ E( _
1 [2 A2 b$ P% N. @* \: n
U1 R5 y% h! `/ A, X
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡