|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
7 U! K! c: R) e% _( k4 C正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。' s# y( G9 c( c0 q9 N- Y
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。/ C) R' ^2 p! F
WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。) \- Y" H; Y2 P
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。! [' l* l' Q% ^% Z) M( `3 n; a, g
.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
4 f$ N3 e2 q3 M3 N/ OWordPress加速和优化的免费Wordpress教程还有:
( }$ D Z& \# u* Y! OWordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板, K+ R; f9 c% ~4 {0 i8 f
一、Better WP Security全能型的Wordpress安全插件6 p+ z2 {6 ] s; q' Y3 c* S8 P3 ?
1、Better WP Security官网:3 R8 t( h; a' H& D2 ]' j
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。- e: ^$ L, [" u X/ k0 ^, Z) A
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。) S" F4 }3 \0 V+ l
+ M, y/ W. a' u: r/ V+ G
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
" I- ]0 F. d; S9 K1 z% H7 ~4 I2 y' e# x3 x: }! M4 K
5、第三项是让你选择一键开启安全防护还是自定义安全设置。0 d# _$ ]2 u7 O
6 _% A$ `2 q r* K2 o5 H
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
7 `6 C7 Z P5 B# r5 ~; e B- g& U5 r
. B, e& l$ v0 B, _+ e" d二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制8 Z/ C8 F0 c: O0 L
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。; C% D2 f# t/ _7 o& R
2 }4 S4 {0 k6 k4 w" l
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
; S7 h" @0 j- A+ M' f* k# |( _2 N# |2 @+ h% Y8 B# s. U3 ?3 X
3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。
; _' _7 B% t7 z; a5 g4 ~$ n4 H0 D; N# m& g: O7 a* e
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。3 @) ?; U/ X/ d5 m: O7 w1 k
, ]1 F3 g$ P' H5 _# Q$ _5 G4 P2 }* ?% G
三、BulletProof Security功能强大的Wordpress安全插件( Y0 J4 ]' p; F8 Q# H: E: j/ D8 ] C
1、BulletProof Security官网:
0 I5 N) B: v d. _+ _2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)- w3 Q9 w6 W' t( K! S
1 c$ P8 a* g# x+ {/ y7 x5 i6 e
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
# B# o9 `" Q3 y' T* ?4 S
) g% D+ D) X8 ]* m1 t四、使用Wordpress安全插件所带来的问题; s+ Z# w' M! Z* ?0 V$ K
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。! S" T2 Q! e1 [, U, ~2 g2 F
; R9 a- m1 l: u- G- m5 e/ y# s h
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。! V# v9 j0 f z$ g: E
五、用.htpasswd保护Wordpress控制面板
& e' c1 c' p8 R1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。& |* |* _! U% C: O! @
2、.htpasswd在线生成:
1 m, H2 f- \7 u$ u+ l: U. f3、先到.htpasswd在线生成页面中填写用户名和密码。; J3 W; {) {& W7 }" @8 h
5 p5 B! y- t7 w1 f& R1 } L& R
4、提交后会得到一串代码。
, c. _; x. q* v8 Y
0 v4 g2 N$ U5 J2 X5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。$ Z( P. C; K: z, a- b, b
2 b3 b% j3 G# s# Y5 a; ^6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。
% {- Z5 l; j; F4 ?% ]/ YAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。
' K; T, d4 [2 n& A8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
$ q( [8 F# N1 j3 M" B5 Z6 m+ O9 n$ j7 [3 ^3 J2 L) l: L3 E+ i
9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。
! ~4 m A6 B! W* [6 J10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。" S9 v9 d/ s! m+ ^ S" m2 m4 q
11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。
& C ^: [5 W; Y( j- k! |8 Z<Files wp-login.php>9 o- J2 @ B+ p. R: y) N
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd
, \: k. j+ L- u' A! aAuthType Basic
+ }( z' P/ N9 ^AuthName "restricted"
% I7 H! B" h# W7 }Order Deny,Allow
/ |& }' m: X- hDeny from all& x2 I6 q+ D: v$ }/ Z4 {. t6 _& W
Require valid-user0 _7 I6 L% X4 \- F# J( z
Satisfy any, W+ w: o" U' N; H
</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。
; B1 s* y/ }9 J# ]; w Y) P1 S/ R8 i% L8 b/ t
六、Wordpress防暴力破解小结
, ^$ `# S) b; V! e1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。9 s, E2 s+ p* J3 v4 \8 i# x: x
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。
/ q& K9 b6 V: [: D. J' w! k* \7 u文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 , o+ `# I9 l7 |& A" k% F/ n
, U1 W3 J4 m. @% c+ h; D. P- T
|
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
6 V' f( k. E8 Z" i7 f4 ^( A) y
& ^( w6 _- T9 ?! Q% c' V: e5 O
. O- |3 w3 q% \& ^/ o7 G9 A A) k
% q* `! B/ }% Q4 }2 N; X5 s* i% y! ?
/ V8 k+ ~/ i/ r# z- U% h% c% N# Y; e
6 n+ I9 Z+ G$ ?% ^9 y
. J j' G1 l3 y9 l, ~
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡