|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
! r2 D/ }+ j( R5 u/ ?& g- i正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。. \/ I' i; @' t4 @
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。! x# |5 Q8 N6 r% F; @/ m0 }
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。$ e. m2 {% g$ X
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。' b2 Z. M; Q8 p% I# m
.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
6 Y- p2 R o; @) X/ k8 N3 wWordPress加速和优化的免费Wordpress教程还有:1 S8 M: I0 Y3 a! p/ l
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板
6 { s; ~, w( I1 G3 n, w一、Better WP Security全能型的Wordpress安全插件" l4 v7 ^% K1 H8 S; L2 }
1、Better WP Security官网:) Z! l- S' C, F( b9 K% Q! V- U
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。
1 i& D$ X; P' W( p e3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。
! v. |8 N& _4 A
$ x5 R A: Z( Z, g' |0 x( h4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
9 Y# d8 k' u' o) m4 x+ P) j4 t8 r0 G( V2 e1 Y
5、第三项是让你选择一键开启安全防护还是自定义安全设置。
' Q d* B1 A$ i: w. R/ ]& h. k- F$ T$ S8 \7 u9 q
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
% r9 [8 {7 `5 k% R; j J+ k
* n8 h: [1 v0 O2 h Y4 ]' x二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制/ z( h8 ~, H+ p2 V
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。& c, E3 \+ \0 N: q" A
4 t9 ^9 V* m6 `9 U: `+ s# g
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
# K/ V& a g; @1 ]9 B& s6 \/ T) G+ L9 j: O
3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
# u4 a, I, H: p3 `7 j
* v2 v6 u( y) M% r/ V# v4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。) q+ W+ E. W9 R$ g& a5 v& r( q, Q
. Y! T+ `$ K" r# ?
三、BulletProof Security功能强大的Wordpress安全插件
6 V0 j2 ~! ]) s5 i# s0 c. ?- v" c1、BulletProof Security官网:
2 y# X" S9 @ S1 Z2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大), O: L3 k5 O) m4 J7 G
1 n: h+ j) h3 [7 i+ E/ R' x
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
& v% z5 L$ W4 b- Q8 a9 {+ s- B w. P; L' `! v4 f
四、使用Wordpress安全插件所带来的问题' }! v. w8 f k* B: A; J! {
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。
( F5 d3 ]) G4 _" W- ?% N
8 R: S/ h' Y0 R# r2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。1 H( w0 w* t$ _ h) v; {- c2 W
五、用.htpasswd保护Wordpress控制面板! _7 ~# A6 u9 U( f$ n) d' w
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。
2 M- l0 A+ V3 R9 I) l6 @( `2、.htpasswd在线生成:+ m+ H* U. M2 M) n0 F: H6 L1 T
3、先到.htpasswd在线生成页面中填写用户名和密码。
/ B$ P% y1 Y: o/ W1 x4 p/ N. D
8 C& G4 z+ c; H& o* M; z4、提交后会得到一串代码。
0 f' [: S7 J$ j0 M
3 {! i+ F* w& e0 Y" s7 c, _. O5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。- B9 H. ?1 ~8 Y
4 R! Y' B0 W, z- ^' b6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
6 P" o2 ^' |6 D- P! e/ aAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。3 q; W& e0 V8 W6 B1 u9 q$ O
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
& y: [: J: F$ w1 Z! V) h9 R& K3 s: _, V1 E
9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
' u3 C8 w3 J' p% J) S; \; F10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
3 R9 _6 i: S$ A& S! W11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
H; X) Y* l4 R<Files wp-login.php>
# n4 k- q5 x* iAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd( k. b; s# x' u& @' ]
AuthType Basic
( _ ~( m' J1 N% E' @( g* VAuthName "restricted"
( `$ i& i3 A: L/ P) HOrder Deny,Allow; V% R3 E9 x% k- a$ z, F4 T. w
Deny from all
, y( H- \/ n3 e8 q; CRequire valid-user& a2 ~7 N- h- N( I8 F$ j8 V- k
Satisfy any
+ K$ [. {3 a0 I! d8 ?; |" `2 U( Y</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。
; b6 u% o: ~+ d2 e! {. Y4 A5 B a! Q: x: i7 l4 ^
六、Wordpress防暴力破解小结
L. ^+ M, O; ^/ h/ q: T7 z" t1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。
2 F! N! ?% O9 k( m( @& }+ Z2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。
. T7 n; ]+ I0 j5 f1 Y& g文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 / t( Y o3 ]4 m2 @8 `! g8 G2 o
" G+ d9 ?2 V5 V8 [4 k: U6 R |
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
, A1 a( ?0 ^% ?' _6 }
2 V( \, \$ K, t
3 z' j' S" ]. M- ]; A/ P: Z
* R1 r/ M3 R, X- B
/ ^* r( n$ F* o" r+ l: L
: e6 C; N0 c" a9 P
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡