|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
1 o0 X8 R0 M/ W4 H4 h6 z) R
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。) I# a8 d# s, z
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。% u8 L% F! k, E$ g
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。8 l* [% I+ W$ Y, F |
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
! P6 i* F& U% e* G$ [.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
r7 X9 W7 e1 e) B8 I8 T; PWordPress加速和优化的免费Wordpress教程还有:
; j0 c% Y5 g! @9 lWordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板1 \) S8 t# R. [4 K- J, d1 c& b# m3 E
一、Better WP Security全能型的Wordpress安全插件
: O2 I5 J: N& D$ R5 A6 t1、Better WP Security官网:9 P- g1 P2 ]4 I
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。
4 L2 J1 }: l! g" F8 d$ o5 t1 m3 B3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。* F% s) P! D9 B/ G
' ?) ?# n1 K" O, [7 M
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
2 u$ ^4 p: Q0 C$ T
; x P$ m# O) D# q1 y) I5、第三项是让你选择一键开启安全防护还是自定义安全设置。) [" ^5 L' s- I5 C$ `( _
& i \8 K& a B+ ]
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。9 V e' e) ^6 E! q; p. n- u: Y
7 q& R# J5 Z* S6 O0 f
二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制 Y4 W; L2 u4 g0 q" N& y$ W* x! z
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。
) a, J3 ^: X" b/ T0 U& a
' ~9 o: _" W: Z( V' a2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
. S3 L/ ~3 D7 c8 n: x; ~% m1 M9 @
8 g+ r2 B. k9 \; ?/ e* n$ B9 S3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
) X/ ~- c( F! G! g2 H5 N5 W# [! M2 K, N' X6 I8 C. g
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。4 R* f. a- {/ q) i% M% U5 K a$ w
) t4 d) ~5 j" z5 c
三、BulletProof Security功能强大的Wordpress安全插件% q' P" A6 E2 {2 Z
1、BulletProof Security官网:4 ~$ k: g& B2 b2 b
2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大). T; u# @7 R' g1 ~. `
+ w/ U2 d- [7 q" T, _) B
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
- o; o+ @3 K( f+ N8 G$ {$ {& R
2 t& O; ?6 |% c; Z6 O: B四、使用Wordpress安全插件所带来的问题/ M: F5 ?2 L" p/ W* c7 z/ C
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。
( h. t) O! e3 ]& @3 w- v+ ~: d. Z' B8 m
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。
& w& s* g; M6 a# c五、用.htpasswd保护Wordpress控制面板" O2 O( {6 O9 A8 L! L0 |4 q9 [
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。
. m" I; T# W& u! n2、.htpasswd在线生成:$ H, h/ O) ^( A' v5 Q- |+ U! a
3、先到.htpasswd在线生成页面中填写用户名和密码。
4 R6 p4 H1 f0 M% D d+ k, l$ m% Z- E, i1 H
4、提交后会得到一串代码。
0 q5 Y$ [2 J; S& |% _3 ~4 v9 Q Q0 K9 \3 T. q' ]
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。# Z5 V6 F, U w0 H! z3 {4 W6 {
5 @# o( h7 K4 ^4 a% E3 }, r- T- `
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
6 E8 R/ T' o" J+ bAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。
7 Z4 R& J) U1 Y' F* {8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
4 J" L$ b6 j7 b! }" a5 |) |" L7 Z O
9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
3 J; f' r$ `8 C$ r R10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。9 a8 Z4 B' W5 U" ^9 h
11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
( g" J" K% D3 ^8 [& V<Files wp-login.php>* o# P: l% G& E. N; g) z1 ]
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd
# A! E- y# F1 @( B; XAuthType Basic
5 [- p+ w! x) D Z9 A9 d! \AuthName "restricted"8 W5 P i1 |0 T/ @
Order Deny,Allow
; f6 H( E+ @" S2 y0 ?, CDeny from all A6 k9 R$ C8 S! a
Require valid-user& k( n* A8 z& ~( W# o5 P& |/ V
Satisfy any1 ~6 E% b* G; J9 Y! d0 c# ?1 ^6 v
</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。
" I6 ~ G+ {) B' _! h3 i' R: a1 I' z9 x
六、Wordpress防暴力破解小结
1 ~) Y. [; }/ R6 ?" S1 Y1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。: @4 g; \, K% q4 G; C. R s( @# z! Z8 S
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。% i+ ~# z, x7 o& Z0 w5 V R4 z5 Y
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
2 l& i+ i: R* E1 m4 [4 H$ u1 _- }4 ^
|
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
( L7 V; ]1 b; M# U/ R0 ?1 ]; ]
i5 n! F: X) M0 x0 t
" Y2 u7 [; M& Z* w, {& D! I5 w
1 o9 p7 B5 {& n" w, t- [* G K. |
: u0 V5 b9 x- Y! I' l
7 a9 o( F6 S' y9 _6 A0 d
! [2 }# N1 X |, S3 ?
6 F6 X2 a5 P# |. z$ u/ @
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
