|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
5 P, o g8 | `% m% C. q! H正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。
- ~/ [4 V+ K \! d攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。# \4 v* [. ~0 ?. R2 [( L
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。' n8 n$ q( T$ c, L, A& L
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
: }" l( p2 ~, v.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。9 D6 L; w; t$ o
WordPress加速和优化的免费Wordpress教程还有:
7 [# S4 b# T2 y: YWordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板# a$ q. B3 L1 m+ s$ _; l
一、Better WP Security全能型的Wordpress安全插件
& F$ D9 d4 }/ k! J/ i0 m1、Better WP Security官网:
( G1 _7 w: W* Y; w5 g C2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。
0 K2 |& [# g5 _3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。
! V( _& j2 S3 _& o! V( I( Z8 R2 X
+ J4 l0 [4 i( W3 L6 \7 z4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。1 R! w. V( q) l: k
1 i; E5 x# ]1 k$ W6 w5、第三项是让你选择一键开启安全防护还是自定义安全设置。
! w# w, j) K3 n$ y! [9 b3 n% d. M$ [: a r$ j7 T: @; g
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
3 X _- y1 P4 Y4 _/ b1 m6 Q& ~. [- o5 O
二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制. g+ Q7 o/ ]5 m. \% J8 z0 U$ i& u
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。 w8 l, H# I7 }- y8 g! s. K
7 T" ~8 c7 `) i; r8 f* |9 F/ P2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。/ e5 K/ i2 z5 T8 }" |. @
- o" d8 M! \5 L1 C, e0 A$ G% @3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。9 m$ k, e+ W; z8 }
' h$ [2 z' q/ [! `* H4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。7 [' f3 B( n+ h. W( @
7 i7 x8 D; B* S; |% T6 a; E" ?
三、BulletProof Security功能强大的Wordpress安全插件
- a+ z( p) i7 `$ F" E5 W1、BulletProof Security官网:
1 Z- I0 i- C* W5 V% d- o& X2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)6 `% U" M; J W/ i
, n. U# d0 s) A* [
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
& ] _4 y `; k+ A1 t
# a- j+ d1 E* P! a" R四、使用Wordpress安全插件所带来的问题
) T& v/ [9 f9 x7 [# B1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。8 V; @" |1 }/ {9 o H" h
- |' E3 N4 s* a1 B6 N2 C; X) Q
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。& u. n! L: J2 c
五、用.htpasswd保护Wordpress控制面板
: a' \- a/ m! |/ N1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。5 g+ X2 J) a1 T: _" q( K
2、.htpasswd在线生成:
- G: [2 l W+ v/ B' Y- S! s3、先到.htpasswd在线生成页面中填写用户名和密码。
" p( O9 p! l7 ~3 y# \
; m9 d9 F+ A5 v* ]' ^4、提交后会得到一串代码。2 G8 \& `: |$ Q( R, f: U) r5 S
6 \" V) O4 t! M. ?5 G7 ?5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。3 O+ q* R3 O' C! c& R) a
- K- t( G7 s+ R; z$ p
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
8 P$ m( o$ S/ B% |6 oAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。 y S, D+ i& X9 a: g0 Y% z
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。4 Z3 u* J- |: h4 c, n: h( R
$ P! F( p, \; u2 X- k9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
$ G# n _3 V/ _1 N10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。4 Y# p" r+ f5 F9 @
11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。; S- Q" G5 e) l }( J8 [7 G
<Files wp-login.php>, F1 i) f% H! P: [4 C' c o
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd# F; b7 P6 P! o7 N5 v7 g& q
AuthType Basic W& K5 P7 I8 C7 W) A! L
AuthName "restricted"9 w6 z* u3 k. {! k6 I* P6 C2 ^
Order Deny,Allow
8 _/ [) {+ s: m' s' r, C8 M" k3 PDeny from all0 C1 `3 }# M% t% D. _! i" I5 m
Require valid-user
/ d" ]+ K/ Q! B& J, A$ k# P" j: VSatisfy any
" N( o# G: H0 I</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。2 l0 n4 y6 E& F9 k/ j
; }* ~, e+ {) N% ^5 ^
六、Wordpress防暴力破解小结' k, w- [6 K ~" O% q. ?4 c7 S
1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。2 O& Q ^' i: W. o4 v1 z2 ?
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。; ?% C- E# @6 Y2 ^! {( p
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
' b! d( C- Y9 {0 k5 s) d1 ?( e. l
; e v- h8 G$ R& ?5 P/ E- F |
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
, S3 @/ k: _" T/ j. R$ j8 q
! n# k7 [# i$ @* a( i! _# {) d
- {' \! j# B! N) U3 J5 U8 b# i
; u0 @# j% {' G9 \+ o' o
, K2 g \# N2 _. R! z
$ M+ Y4 K" W& C% }* P
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
