找回密码
 注册
【阿里云】2核2G云新老同享 99元/年,续费同价华为云精选云产品特惠做网站就用糖果主机Jtti,新加坡服务器,美国服务器,香港服务器
查看: 60|回复: 0

WordPress防暴力破解:安全插件和用.htpasswd保护WordPress控制面板

[复制链接]
发表于 2013 年 6 月 10 日 15:38:29 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
) u- B$ _4 @+ H
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。
# c' A) _8 V  m# `攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。7 w* R% I. W5 F9 D2 c3 Q1 S. k
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。% z. n" k7 [3 F4 R3 r0 o
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
# K4 ~; u7 p) z0 O0 s- z" |.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
: Y9 s9 z. [. d$ e8 Y: }WordPress加速和优化的免费Wordpress教程还有:
/ t( ]3 A) Z0 eWordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板
" l2 J7 X( K6 G% \/ H$ w: r一、Better WP Security全能型的Wordpress安全插件0 x  P) }0 O, T, P; S, l
1、Better WP Security官网:) G+ n. w! ^0 a$ e/ E% E
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。& @2 i/ q. F7 Z! K/ \
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。
( v$ x& L, N. S6 f6 G8 t! z1 h7 _4 Q% L8 {$ c# S$ C4 @& S
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
  I& Q: [9 I2 I# y. K4 e. M! W+ S3 P% q7 G6 j
5、第三项是让你选择一键开启安全防护还是自定义安全设置。
" o( X& c: h' B
( `( o6 t0 z7 @3 N$ S8 b- [6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。8 ^, Y: r/ A+ m) B" x' }9 M$ R

( ?" E$ T7 ]: {3 ?  f; l2 S二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制# a4 H+ m' J1 H9 `2 `
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。# y0 L7 H* f1 F9 J2 S# s: w& q# w$ C# w3 f7 d
1 P+ k) m* c3 }; ~
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
! A- i, d5 W  K
& {+ [; o, u% [% J% k' L  C$ s3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
. e4 r7 {- v7 `2 q: \
3 I9 N: i( s) s+ `/ z2 q4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。
; [, O  `. M1 C' u6 ~# `2 |( ~& m- {7 ~4 B
三、BulletProof Security功能强大的Wordpress安全插件7 _+ {  x) x& J& ?# m5 y
1、BulletProof Security官网:) J, @  h+ o" H
2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)+ B4 P3 r/ r7 U- ]  M

! K: w: A: V. R( w( ]7 a  @3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。3 f' l) O/ K, }: T' ]% v

: F, `+ ]' _4 E. u: _四、使用Wordpress安全插件所带来的问题2 r" V* M5 `" Y& h$ w
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。
7 G0 Q$ @! M' T# X, L
3 ^) O/ V# m4 E2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。" \4 x1 u2 }; K  E2 p! G
五、用.htpasswd保护Wordpress控制面板
; h# G. d' i7 C( Q( |1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。0 @' N$ T( F; ]+ a' u% N( x  G
2、.htpasswd在线生成:
' m- M& \  w; E5 w2 |( O3、先到.htpasswd在线生成页面中填写用户名和密码。3 H- _; G) n- B6 P4 O

  o$ ]- F8 C- K4、提交后会得到一串代码。
- n+ J; t0 ^$ k* J* a* r
3 I- b+ [- c5 d" G0 @2 l5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
$ v7 f9 p. Y; E8 T2 V$ N; j: E" d0 q8 @; S  f
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。5 X, i; J) m. r, N, P! z2 U
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。
* k( f7 K& n8 P" V, n* K5 e# }/ T) F4 P' m8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
. O- m2 g4 G. B2 ~
/ r) `9 ^, S* }9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
5 K2 o+ }/ [- v  ^5 u7 O3 [10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。7 x7 s  z4 y4 e* e" P; O1 M9 W
11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。7 i& o/ t% g1 h* Z0 L$ @1 Y
<Files wp-login.php>! x' S6 |3 Q# E0 Y2 `9 P; O
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd
' f9 n* h! G% ~; V! O& K6 o! nAuthType Basic
% d9 ~3 H9 A9 O/ @( \AuthName "restricted"( @7 `$ L3 R- _0 }' ], a# O' f
Order Deny,Allow
% [$ l9 N0 r1 e2 p- g  p& m+ DDeny from all5 |$ p7 L( t* P* g. E
Require valid-user& F4 y. J9 `5 ?( K) |0 k
Satisfy any0 j2 h5 f1 [1 F5 i: _
</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。8 p! X1 r% w' B- h9 Y- [6 |# @1 y

- V+ C( i) M6 d* v+ J! T六、Wordpress防暴力破解小结
9 i1 K6 {( g4 E5 G1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。
' i% m; U4 P6 u! r2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。& r6 G* ^& y) |
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 ( J$ e- _' o1 a" \5 U
' r  @# G% O8 i/ m
Jgwy.Com - Free Web Hosting Guide & Directory In China since 2001! Jgwy.Net-Jglt.Net
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|金光论坛

GMT+8, 2024 年 11 月 16 日 18:44 , Processed in 0.019740 second(s), 23 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表