|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
2 @! Y9 I8 ]- [. c正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。
1 t+ c2 n0 U0 n* I- O: Y! a攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。
5 G1 S( G1 F( l* uWordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。. M2 ?& L9 } `2 }! d3 U! i
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
g9 S* w5 P8 Z& y8 I1 @! }- a.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
$ ?. I) W# a$ J2 J7 N) T3 jWordPress加速和优化的免费Wordpress教程还有:' P. R. H, Y) T+ C; X! |
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板8 h7 g; x3 ^) H) G4 t6 f9 a5 Z
一、Better WP Security全能型的Wordpress安全插件 f/ T4 S. `* U4 w3 P
1、Better WP Security官网:% W, h/ y: b, r7 x6 ~8 T
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。
& w" s( ^# ]/ Z8 f3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。
( S' @% L" a7 C/ D j Y6 ~5 J- A4 R- A+ w6 _
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
0 |% f4 K( p6 {, U( E5 C7 p
9 v" G5 o% y- Y9 f5、第三项是让你选择一键开启安全防护还是自定义安全设置。) ~/ S+ s" U( [* b$ {4 I
1 E4 @% M3 j( g3 T& G
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
) q! ]- @7 X5 i! v( P; x
1 x- Y P7 D% f& z* y7 u二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制- I( Y0 {( B' w7 O9 ^. |/ B+ e9 D
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。
% Y5 X( Q: W6 u6 T1 N0 y% a$ P
# ^3 r) ~6 T" X* L+ A2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。: L! ^" _9 [2 ^7 _; Z: D, M7 h( X
E# D- N% l( D$ x
3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。8 k& v6 w3 {" w/ V: k9 c/ z6 m5 I& L0 W$ e
" T7 I w, W ^( \4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。
4 W, m% |1 X. y0 a- i3 Y5 _) e& p$ _% P0 c
三、BulletProof Security功能强大的Wordpress安全插件
7 A" T) e- x+ c4 r7 T. t1、BulletProof Security官网:
3 G2 P- W9 h" W: k- \2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大). Q( M$ M- v$ {
4 p9 U8 H- b. R3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
/ c! h+ a5 Q6 F3 E4 v5 {
* J9 ?- ]* X6 r$ X4 d6 j7 w% `四、使用Wordpress安全插件所带来的问题3 |8 J% O1 `7 S" j& p
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。+ e# O! J) _3 u Z1 e
; L: X c0 G, n5 @ W2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。+ e8 w! I- {! p4 }' @ p
五、用.htpasswd保护Wordpress控制面板2 X7 \- x/ h* M) E" i
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。 e8 D7 w, k9 w" G
2、.htpasswd在线生成:; w, g/ k7 F7 D5 n+ {" d
3、先到.htpasswd在线生成页面中填写用户名和密码。( F, ^7 D% v! @0 l; U( x
2 n1 C9 |5 n/ e" @ g: \5 A
4、提交后会得到一串代码。
9 L" Q! ^6 Q7 B4 S; W$ I4 C! R7 z. j% Q A
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
0 r! }/ N3 m& ^5 w/ Y+ c+ e& H5 _7 y R: u& M7 I
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。4 w+ F3 l5 X2 ^& R7 P3 S3 V
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。1 h2 s2 p% a: G% H; r
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。9 T+ q) g* w' t: b$ h
$ X5 `. T+ e, J. E9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
4 C: U/ k8 v/ M10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
! p+ D) J$ ?7 T7 y/ H6 c. j11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
. X% s) \& k6 L& \# k<Files wp-login.php>
: A6 g0 ~ @7 B7 G2 a) S6 I2 e0 t) RAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd) `. @, _1 N" b5 i7 ?- v* ?* P
AuthType Basic
$ O2 D4 C, P- L% v% s5 E0 y3 J: RAuthName "restricted"
. ^9 f1 Z4 y# N6 C- J8 a9 }Order Deny,Allow
: _' e! v0 z2 X; m" |; rDeny from all
" ?7 d# A3 p* E$ E: QRequire valid-user6 C& d' w9 X. ^' X2 w1 @
Satisfy any
" Y! L" _. H( j) F% N</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。# K p& O. ?6 l2 A, o8 @% Y
! H0 p) M0 [' B! \. E! H8 q六、Wordpress防暴力破解小结# C! i( R7 F5 p
1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。 A/ V {2 p+ c5 N: c2 t
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。; G& F9 I. X( u9 l! i# ]. t
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
- L9 k: `! u0 E) t
" P; X% ~+ R2 L' N" F9 |" W |
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
& t2 X: v4 G) d7 z
- L8 J( F* X; [7 r3 ^% J" L0 R
% F' v3 `5 p# ^: b/ K' v7 P: c
+ d+ {) Q6 Z9 P0 r
/ B* z9 \+ _" Z9 |5 z" ?
$ S% V2 T, d! c+ ?( W' T
( s3 P& O) d: x2 i# a
; y# v' V# w7 Q
) e/ y0 E: I* N6 l6 G: W
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
