|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
2 Q0 w' g! A1 o M# H3 }: r
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。
+ _+ j, ^- B# P8 r攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。
/ i4 N3 c* h& d3 h: u/ M: cWordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。
! y) D: P& z* r3 E: A# A0 g) D本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
* W/ ^* H. v. J* p7 i* w! I1 ?6 F$ p.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。) Z6 U4 R/ c, ^ R" H' e
WordPress加速和优化的免费Wordpress教程还有:
/ @' S; e6 a# x- t' i" n J/ A& jWordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板
( e: o& }. p4 |% Q) D$ f一、Better WP Security全能型的Wordpress安全插件
: w( Z7 f$ d' n, c, D7 e1、Better WP Security官网:
! \- ]" ]3 v8 a% C9 X2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。( M+ K7 O/ v2 V0 z
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。
* [4 ~/ O# |) e) A, {9 ^; @' z2 m% Y7 Q& p0 e
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
0 Q, j6 A- } ]2 u2 a J, X ' N5 X) s: S; V. e, E2 m* s& L$ Z* Y0 A
登录/注册后可看大图
5、第三项是让你选择一键开启安全防护还是自定义安全设置。$ ]6 M' O2 {/ G1 q! r: {; X
8 [+ y* [& v( s5 R3 r6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。9 {& z+ _- h% P! b3 Q S
6 r4 n, E/ h$ c7 f; S$ Y/ Q/ e
二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制
9 ], d6 u1 A* k! {! n1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。 G9 a6 L2 r6 j
% ~0 v. K2 v" a& h& i: W
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。2 b1 n1 z' H4 x/ e& h8 x8 K6 Z
5 M! W/ G2 b3 J3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。 X I1 |: Z) k2 v% _3 a( r
$ f0 `& t' U7 @/ C) j
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。) r" S5 F }4 j/ E% _; B4 H5 y
( I8 Q D* R) X! t% t
三、BulletProof Security功能强大的Wordpress安全插件6 W% x4 a6 R$ W" m" _+ {
1、BulletProof Security官网:
* r; _8 D0 Z2 q! U, V- V2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)- h2 k2 {9 L6 \. W$ T
% u- d. d. ~$ N: Y2 i
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。5 b0 M% h8 t/ O- z- C& z: G) V" d
, [1 k8 W7 B% \1 O- o四、使用Wordpress安全插件所带来的问题$ i1 Y8 g# n% s# ]% a0 D% x- s
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。
~: X" U% \) z6 K+ B; T' T7 j9 j
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。
) j) s; H" @; f& Z6 C) j5 X五、用.htpasswd保护Wordpress控制面板" E6 @7 r4 }% W. }7 { }
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。
{9 o9 J# `2 V/ d' L( l2、.htpasswd在线生成:1 s- ?# D2 y' E6 w- G2 w
3、先到.htpasswd在线生成页面中填写用户名和密码。
2 \! o* \1 q- g+ `6 p o' I2 O, `6 U5 t# L
4、提交后会得到一串代码。
* p2 E( ]2 Y; g& C. j( `# j% A* R" x8 M2 `3 T S( S
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
. d' l7 @, d( W9 g- x6 V0 k6 B- s( @0 ?
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
5 N& j( d8 o ~4 g' l# q) w3 j0 mAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。/ I4 c: v1 _5 G9 r1 d
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
( _8 b0 ^1 o, g0 K6 o6 T% W
, e7 f1 J0 H# {, H9 _% J9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
- o1 b& n1 }* S: x: G9 K; d( U1 O10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
4 p' [4 v, g1 P11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。1 N. i5 W* O2 a3 W- N
<Files wp-login.php>
4 \0 c; w% z1 @5 B) Y! [AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd# S" j4 M9 H5 s' M; y+ @ D- e# {
AuthType Basic
& q3 ]( ]& k, b* z3 A3 F1 \2 EAuthName "restricted"( ^# R! B& ^5 G2 B" J) h1 [
Order Deny,Allow2 |6 }* V, U- Z. b4 B
Deny from all, V- C( O6 r/ @ T. P8 N
Require valid-user( o5 F1 J! l4 d- z0 Q
Satisfy any: x) ~! a( @- s- [* a# R
</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。3 s3 N) k$ d$ q) Y, k) R$ B2 |
* w9 ^- ?% c: j; _# Q
六、Wordpress防暴力破解小结
( S; {1 k5 O4 t) C+ {7 J3 O( r8 [1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。
. z0 Z+ @3 z( G" {2 P3 ?* N2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。
" B- d/ d4 x1 C3 H" s& l+ X文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
4 g/ |2 ?$ O: K$ k! c6 L* I+ a+ C; \$ v8 N0 g
|
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
4 ?) [* {- j0 L$ M7 {" Q
+ B! ^9 x. [, l& I4 L# Z$ ~- a3 B
( T, E1 ]/ X* O! L" d
8 W" g( X: E& \3 {3 @
a" {2 E& W U; K1 v
% b# \' S6 z# F" n: z
' [6 v/ U" W: i$ j4 w6 `% R0 Q
- U, L8 [' v, a3 J# D
3 u3 c* ?% s w" K
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
