|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
( ~4 d; k* X' S8 X" W
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。
9 g8 @$ d) Q" `) |7 B7 r攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。5 F' T& Z1 v" n: S$ E
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。
' P) w( L# h- i2 j8 B本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。0 N" Y: I4 P5 i1 m7 F! G
.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。& `5 w: V5 H# F9 r
WordPress加速和优化的免费Wordpress教程还有:
. x3 `6 I0 d7 K0 Q7 F) C! WWordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板3 U M& {' G* [7 d6 m/ _
一、Better WP Security全能型的Wordpress安全插件" ]& Y, u. l) r- B3 i5 K
1、Better WP Security官网:
& t: s9 g! G1 D( j2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。
0 m2 F, ^+ X# t' O* ?" A, [3 h+ o3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。6 K7 y9 C" r. h8 ~4 `
+ ]1 N* W5 d. [4 }3 P4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。) u/ ^! k. \: g, u; Q( l
* I- G2 `9 _% E( ~# R, }: E" \% q5、第三项是让你选择一键开启安全防护还是自定义安全设置。
0 c& i: d3 W9 k. L* d4 [- v5 z: \4 y3 M3 @" s: M* e+ R# ~
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
( |& H1 R. ~. t3 d9 x/ ~7 ~' x1 j
& O- g$ W0 v, I5 ^二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制
/ k* \9 @; p1 Y+ y6 r8 X* y1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。! a( j: {7 x: K- O8 e; e( C
8 _ o: l' L6 ^0 Q
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
0 g4 X, x' D/ t; P% C& d1 D" ?
! j* w( @. M0 @9 W1 X! p3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
0 f# P% D4 H" v) [ h+ Y# u d/ s) j0 ~- k8 v6 y5 O
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。! Y( i3 V! N n
# Q2 Z# o' E3 f; R8 ?
三、BulletProof Security功能强大的Wordpress安全插件3 W0 H* L7 \1 M7 p
1、BulletProof Security官网:7 o$ d' D/ ]: A& M
2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)
* @: ~% i2 F5 z/ h1 |3 R! n/ Z& U
$ D: g, O8 l+ A2 ^3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。& K$ E8 X$ y: n2 l! ]
# @; g0 T, y- d$ l
四、使用Wordpress安全插件所带来的问题
3 x% e+ H D8 H) @7 Q9 |6 b7 T1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。5 Y. R# ]& [% x( F% N; _2 R" U
7 F, X T) m9 U9 E
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。
5 q4 Z7 J: ?# Y五、用.htpasswd保护Wordpress控制面板3 M1 h% `. N$ Q- A
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。
/ i e4 p0 c9 @2、.htpasswd在线生成:
N; A b$ `! K1 I+ t3、先到.htpasswd在线生成页面中填写用户名和密码。! N& W9 p" n) w9 h7 H# w/ I
# n$ ?2 E b: Q
4、提交后会得到一串代码。) Y0 b8 D9 q3 _& F
7 H' ~; v6 b6 t5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
' B: T& O# p% i1 l, G) l& ?* J; m' U: J$ S: K
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。2 H% Y% K- A/ D, ]# z0 \
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。/ x& q" A" E/ ^
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
$ Y3 t2 X# R$ @
8 T5 C4 G& J1 O; k% O0 k6 y9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。% p! o/ `$ D, D# }4 b3 s; i
10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
. W$ F( \. `2 ~4 b6 \6 S3 Z: h11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
! o7 ?+ ~8 x" B3 M, e) D<Files wp-login.php>- g9 S) B- w. f& D. N) o/ I1 `! Y
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd' t0 B. Y* U- y S9 m) f
AuthType Basic
! B, e$ t$ ]/ ~AuthName "restricted"4 X( W6 Z% r6 l/ q: M7 B" m" p
Order Deny,Allow
. h8 v: z* C1 Q6 p0 |- |7 D& U, YDeny from all
4 P7 D7 x# W# \5 [& [ d) TRequire valid-user
! p# h* m( A0 `1 D$ aSatisfy any; s! ]" M, E$ Q
</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。
% x- P1 o0 }" G# D9 S, F) b
% ]/ _8 {, H' d! Q2 y, `六、Wordpress防暴力破解小结, w; y. _2 H5 \& E/ |
1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。
, ~& i4 I) M, n5 M6 a, h- a2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。6 x5 L5 C) Z0 d. u# i) }
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 8 U$ i: o0 Q' U+ x
) T8 j1 Y# z! [) l- u# g* K
|
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
: V" F& n5 Z1 e) ]; D) I
$ e% t" \4 i4 ^& y! Z
% u% Z- X, F4 ^
4 h) {" j' m3 h
# t: x% M ?/ H3 {9 |$ j6 i+ Y
1 o8 l1 p- M& J: R" h
; _& W/ x! V; V0 Z, f+ L; D5 ^
. j, x: B* s2 b2 h2 p+ z
. X5 I, G, v, H3 E8 r+ b
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡