|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
' o0 Z: W& U5 e* Y1 Q( X+ O正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。2 U# P8 r. V. U0 b7 R
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。) o2 b+ ?3 B- Q
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。
8 x% v& Z) B1 V# [4 C" _) W6 c本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
) Y: r* I& Y5 y& g3 w! q ?1 k7 M.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
% I4 N [& K3 v, B4 F5 jWordPress加速和优化的免费Wordpress教程还有:! a5 M2 i- o3 {# A
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板( W2 N: O: p" |$ t& D: q8 R* F
一、Better WP Security全能型的Wordpress安全插件
. s' d# D* X3 N/ F7 D1、Better WP Security官网:
% V* I6 ?& f8 ]) j8 }. y2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。0 m! a1 j" d4 ]+ l3 l. [" A
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。: D! D0 x# r# D# g. H
) l* k; v$ d; l6 [% d1 T; k
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。# w6 T3 t! t6 [* ?% u' u
0 r) B, {( r( k
5、第三项是让你选择一键开启安全防护还是自定义安全设置。
, X5 x1 ?3 [$ L" G! l* C- Q
5 {8 I: w& J( x+ v; p7 B6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。- d9 O+ S) c% b7 V F% f
5 p* x" Q5 ~* m5 B E6 D7 G( p二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制
7 o7 j, d9 U4 j2 @9 Z1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。
& K( Q$ ]6 d3 j8 b8 ?+ j7 {3 S* s5 H6 u
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。6 g9 p9 K$ L) C7 c
( [% G' `/ i. Q6 {! h [5 v. q* r3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
( N s+ c* \7 R; n0 l" X# e4 Y `' P9 c9 J% m, j
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。' X" Z" Q6 w5 {* @
/ f' N! `2 o, M+ i
三、BulletProof Security功能强大的Wordpress安全插件% {% t- Z8 w& U8 |# ~2 t
1、BulletProof Security官网:. s; @5 k9 k- }, G
2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)
4 }+ U3 s4 d6 q. S# h( m1 Z3 w
6 \2 Q' G! V& {- h: ~3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。+ K4 n+ b; k, C) B
8 k) ?! y3 F7 X, m, L- n四、使用Wordpress安全插件所带来的问题1 R" p- W# M2 B$ i, k, C& G$ [
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。
4 L; S1 k, g/ D4 h6 N! {- q$ K6 V
6 k9 w5 }6 \' Z2 \0 a7 b2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。7 B5 ~- O& i" x6 n1 n
五、用.htpasswd保护Wordpress控制面板0 B, \! Q1 S+ z+ r
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。
4 u' M; [# |& E* V0 m2 S! b2、.htpasswd在线生成:- {0 G3 k* K9 A! F
3、先到.htpasswd在线生成页面中填写用户名和密码。$ [9 t* x4 s9 \: |# G; M
2 m" I {% |( U7 l* T4、提交后会得到一串代码。7 N5 a5 t" r0 x7 g& }* _% ?
# ?1 {$ ~% A* [' c. u1 A
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
& \# ?5 ^% K9 u- y% _' V; b
% H2 d- t& i9 C* n0 h6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
* o! P+ s8 q7 x; dAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。
3 L: X+ j" y, z3 A8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
% H7 {3 T9 _2 w( t y
" m% o' Z$ E) R+ _7 j3 O9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
% N3 d7 I0 I% D10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。* F7 q& l1 r. p8 f
11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
. x, n5 E2 G/ C" B+ J0 C( R<Files wp-login.php>
! ]0 h- J- `) o+ I- D3 r+ zAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd
" r8 v, n" S) d* L- Y, jAuthType Basic
5 x/ v J3 J4 Y6 L' m/ _AuthName "restricted"6 H' K1 \, d3 H5 f8 e- C! l$ q5 |
Order Deny,Allow
4 f9 R3 D( @& J9 W4 @; oDeny from all
. M& d1 L+ C. }/ ~& mRequire valid-user
- ~& n) {6 Q/ }" ] w5 P/ nSatisfy any
0 F+ f5 b& l" k6 Q3 e( T) U( {5 o</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。$ }. w o' n. E. \5 Q% Z; N
& G6 }# o' v, w: _, N7 K六、Wordpress防暴力破解小结2 ?5 {- r3 Z+ y0 i( H* D
1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。! l$ d& B9 s9 o2 u7 w) q# m: G
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。6 }0 @* F( j% `9 U" f- h
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 + u7 i) x8 O( S
+ T; o$ \ j: l |
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
d! Y# N% g; S1 h1 O( e- t! }
* D ^6 ~2 ^3 R/ G) J
) t; P3 e+ a1 b$ }) A% ?" d
2 ^: W, D% J8 I6 c
/ [$ [3 c8 U( T( V, ^
4 h! K2 L6 y$ A- m$ u$ |' r
+ F& G7 k% {$ a. K, p' l
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
