|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
1 F. I+ [+ |1 H0 C T
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。' O6 @/ ]+ t- D( h" ~9 o% S
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。+ Y9 C8 D" y8 ^4 ^
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。, b3 p" I" a: y4 N" a
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
' H# w' L" ]# }( h' S% p.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
. w! S/ P0 K+ Q+ m5 e- tWordPress加速和优化的免费Wordpress教程还有:
! s* ~3 f( b. @& @5 Y8 CWordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板" m1 }& y) |) L
一、Better WP Security全能型的Wordpress安全插件 `5 p8 E8 X9 [2 W) a( w4 F, Y% D- ?1 m& `
1、Better WP Security官网:4 K$ C$ @% A$ e3 j1 e' t: D! y) r1 ]
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。/ @6 [8 m( H. n8 p4 E6 o7 P$ t
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。* E. [( T2 A. q9 G( T
; x- U, e( D$ k/ x2 G( h/ M: J/ m
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。* ]8 p( Z) O# N# b. R+ z6 z
0 L! ~5 [$ z* Y5、第三项是让你选择一键开启安全防护还是自定义安全设置。& R1 n' x! i% m
. |% }2 G F) N6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。$ d# m8 l3 @6 Z% w
/ ?0 |6 C+ A# |9 s, y二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制. Y& A4 B) T8 k9 t T7 k, |
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。
. j% D( y# L) h# d1 P. k3 p
J! L6 T0 j' Y! F/ V& Z2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
: m9 p% \! M, H- e# w" u( P& W) ~1 A8 H7 }+ r1 M) G
3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
4 ? T; w9 |2 n. T6 P3 J) p
- A9 M Q( @# Y6 `8 ^3 [' G) i4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。2 ?6 _3 @: ]+ L" A; A' `# w
' o+ W% U! y: p, @" O8 D三、BulletProof Security功能强大的Wordpress安全插件
# C9 L5 S& M- e! x1、BulletProof Security官网:
6 R; {* r& q" `* d2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)( o7 A( a6 u; a9 c Q4 s
& ^. i* e; }: V& y1 e* {' @
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
+ B3 v6 p$ d+ L/ ~/ X
+ ~9 b4 y- v9 U四、使用Wordpress安全插件所带来的问题
1 u0 w- B2 j, B$ k% L% U, f1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。$ ^, V4 c6 A0 C
3 y) \1 ~4 D& V R) Z8 k* }2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。
5 Z; y- K8 ~4 F8 s3 C五、用.htpasswd保护Wordpress控制面板' O9 E: n. z6 z/ a; v6 ^
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。- u( V: r# `/ W) ?; A0 h# e
2、.htpasswd在线生成:
3 |" @5 ?$ F" \! U* i3、先到.htpasswd在线生成页面中填写用户名和密码。
7 X4 _8 j( a4 F! o/ s; l- c$ l. i |6 X' z. C8 s8 o
4、提交后会得到一串代码。/ m; s \8 \/ m4 s# I3 Y% |+ _
- s* [8 Q# |7 Y. T
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。 Y( a- L3 X5 V
5 T1 @- v1 C K9 h& e+ Y$ M6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。% w' E, {% q; D6 Z
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。% R6 l2 O0 g0 d) F0 T
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
3 {* |# ]: h. a) s v
6 Y) \& L7 f5 v, q4 ^, E5 |" Q% H: r9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
?$ R8 m/ \( H' h2 ^1 |) I10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。 T4 [0 s9 N# Z9 C# f9 X+ \% m
11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
7 P0 D' U% H. R<Files wp-login.php>
& r# d, n; c6 {9 W+ x. m6 w; eAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd
" ?' O, x$ h& N: l/ f, i3 NAuthType Basic4 h6 E" M- g7 Z) ^
AuthName "restricted"
: G9 R, Y4 G# u VOrder Deny,Allow
: S/ k2 I/ e6 S, |# ?$ T; mDeny from all
) E; x* i" E2 I% Y. Z* N8 }Require valid-user2 g2 {) A$ E3 P$ e
Satisfy any
% ]0 l! m& }8 s( W</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。
3 d( ?: F% B T" o& |" {& _+ n5 R B9 y
六、Wordpress防暴力破解小结4 D+ u9 a S" z: C! x* H
1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。4 s0 N" u1 I A3 Z' Y
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。
, P- k) {* H2 c. `+ }文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
$ I; a- Z6 A+ T/ R
* y! e( x& ?2 M' R& I+ p7 \, J |
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
: p9 @0 E6 q) Q8 \
2 C+ I' u b T% B3 c
9 E$ ^5 S$ C7 f5 O
; n( H9 u8 [5 a8 }, k" q) Y/ K
- k. w5 ^/ l9 m: s
2 W6 K; l' u2 j4 g' P
, m0 `+ `/ Y, W1 t* \: W/ M
3 P0 p8 j( @3 Q H
7 {( U% j" R: t% T) G
. B$ ^2 p( l) R+ E
5 V C8 ~+ y& F2 v, A1 x b }
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
