|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
_' i# W$ y) ], E) e正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。) G- f" M) q. e" e8 ?
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。0 `' m0 [) i7 E# C3 b! A' r" V7 g
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。
/ v1 `3 [1 M% E& p本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。
% ?1 _$ I; v* d) {$ u.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
# e5 i- ?! |4 n" uWordPress加速和优化的免费Wordpress教程还有:& |' e N; n4 A! k( @6 R0 u6 U, r
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板
4 V0 S0 t0 c. i+ T/ c一、Better WP Security全能型的Wordpress安全插件
& _" T) N# @4 {& F1、Better WP Security官网:7 l. Z, ?* `; a. I& w
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。
2 y @5 d* |- D" c5 y. _* g) @3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。: x. |! r$ T( q) ^6 O) r
& F$ J5 ?1 B4 ]- C6 G
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
, k* ^7 X2 ^ u
- [6 s' b6 y: I* b c/ p P; [: O, c( [2 ] 登录/注册后可看大图
5、第三项是让你选择一键开启安全防护还是自定义安全设置。
/ I/ j2 D2 r w# H( n4 M) e* E7 F, `4 r% ?
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。- j, n1 ]" W' [4 r) H5 Y# H
5 x; S9 n) a) D5 B5 \9 f二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制
1 t$ P5 Y' F3 I% l1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。1 u& W1 \8 j. R
$ M1 q6 D. E6 v2 ] O4 S
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
1 ~4 ^. J$ E3 [! j- t, n% r2 _, n- v8 p; Z# U" k1 h, m0 A
3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
3 N5 a# z. d% m, L/ E3 u# m4 s( G1 s, [
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。
* g F) Y8 @' N7 j3 U& M
" E: I3 G' ?' |8 _三、BulletProof Security功能强大的Wordpress安全插件4 q0 v. Z, E5 a$ m
1、BulletProof Security官网:
$ t9 Z' M0 v$ r. v9 ~6 w2 s/ ]/ K2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)
* k7 _5 L Z& [5 y
$ S& w B: ^$ |- i- R$ v) d( V. n3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
, ]) \& d/ S0 L; Z& \/ _, A. y4 l$ s- G+ u) g" `. T- x
四、使用Wordpress安全插件所带来的问题/ p& |3 M" A+ z/ o1 L
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。% U+ Z, C g1 d: Y7 R/ d- t$ P2 @* L
( Z& }! a/ D( ?/ ?" Q3 m. s# ~. Z2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。
- f8 P, {; o! ^2 G# P% Q$ o, o% c五、用.htpasswd保护Wordpress控制面板. |# t( i" l) X+ c# j9 P3 e6 I; A
1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。
! y& b$ `* O* p: I3 k2、.htpasswd在线生成:
' K: J4 B M) ]" f X( f6 D3、先到.htpasswd在线生成页面中填写用户名和密码。4 t- T: i5 z S: g7 s# T
% u5 ~2 J2 l4 k5 f3 j6 i. O8 X- m
4、提交后会得到一串代码。
( y4 Y% }/ {/ h# i$ \/ e3 I" f m* N1 g4 [
5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
6 I( j2 d$ o6 ]
3 b |! s$ Y% F5 V! z6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
; x C$ g5 ]: Z0 \AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。# L. i9 ` L9 Q1 a
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。$ D2 N- i+ C U, _$ Z# W
9 ?# b4 g: g. [: g0 v
9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。( k% q; F* e: |4 t) P2 ~
10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
% E. O! {# O3 s9 w r6 @+ M& w( X11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。( u2 [% V0 L4 o7 G5 o5 h
<Files wp-login.php>$ c+ u1 P0 ~9 d
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd6 ^8 _- Q$ _! X' Q. E. `( \
AuthType Basic
+ D% o2 b" s, U4 d# ~4 W' LAuthName "restricted"
# w. }% b7 J! V4 r* \% w# VOrder Deny,Allow5 r J3 k% s! g, i
Deny from all o: c1 m8 P1 P2 H1 ^" q% O
Require valid-user2 g4 N$ ^' x/ X7 B& \2 L
Satisfy any
( m; p6 @: M9 y</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。
4 v, P! X: l; E2 P. h% c& U& q
# A# B x7 N" b$ o* {! M( C& @六、Wordpress防暴力破解小结
4 t1 S( Z- }" B2 D- Q1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。: T/ F1 w. m3 x1 k% `2 w
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。 \- u5 Y f& ~5 X) B
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
1 E7 @/ u- B9 b+ T3 `
2 G3 T$ }; {. U8 M/ H/ r, h |
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
+ ~+ `: }3 `6 ?& d
" ?$ Q7 a* Z# n2 X Z. p
( Y& s8 @' |2 m0 E+ C' ]2 y
. U+ W/ D% R; _
, C/ Z0 F/ T, T p+ L' [- j, V& v( E
1 j7 ^/ x P: i% Y
2 L1 G5 k( t: V7 A/ \+ z6 e
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
