|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
* w; S# P2 Y! J+ i" b0 M
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。) `5 h4 w+ F, d- n. i
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。
* E; M+ h3 `- h$ q$ T: ~WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。$ @ j# C: _$ r0 [
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。! X% Z$ b7 A" @0 _6 B. S8 b6 p* F
.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。$ k5 W/ |6 H( O1 t; x
WordPress加速和优化的免费Wordpress教程还有:
4 [3 V# O# m% v7 ^' iWordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板1 r! }2 M" _( d. v8 J8 j" G
一、Better WP Security全能型的Wordpress安全插件! n- n7 u. R2 g3 j, o+ M9 I' t
1、Better WP Security官网:
1 Z4 N9 o7 ~" ]3 Z: W2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。
2 G* f# {, C5 b8 z3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。# ~ K- u0 W/ A, G1 c+ \1 R. F/ L# Y
0 o( E+ ]: l6 C! O: O
4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
* H9 o, M8 W- v X, k
4 U5 ]! X: m/ [5 l5、第三项是让你选择一键开启安全防护还是自定义安全设置。
! F; q; m& n* _. B Y5 L( h5 C% F) Y) p$ O! b
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
$ K/ q* a0 z! |& z! W
; s! `* {6 O5 l9 q2 ]- @: c, x! Y二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制
5 z$ m* @8 t" T3 t, P1 l1 c5 i1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。* ^$ M$ g2 E* `" G% U# x; g/ o
( X/ t* F- d* r, s: c7 ^& X
2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
" Y' b/ m" @+ F# E$ u$ K3 L3 U/ z! ~% [( R$ V; q
3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。6 p8 v' y/ Y5 ^6 |' r
' K1 k# G; V0 g/ |) Q
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。6 ?- h" `$ u4 U4 v5 ]
) L) w$ i- A; W& C+ ?) o" \, {+ e+ Q$ j
三、BulletProof Security功能强大的Wordpress安全插件
1 u, I( M! ^; T( {* k% L" Y1、BulletProof Security官网:
) S3 K& t0 S' c) u! [2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)
% R, ?. A0 j/ {% j) t, J+ I) J8 |! m3 ^" @
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。
3 G! A4 f3 C2 E; K( O3 H- _8 B
3 z' ]" u/ L$ y+ k) G四、使用Wordpress安全插件所带来的问题7 V. e) U p$ B! s' \ }8 ]5 t
1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。6 \$ P- ^" [9 E6 I
, H9 j3 v% P& A# N2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。3 |# Y" d: e* N" `/ ~6 d
五、用.htpasswd保护Wordpress控制面板
" t! g8 m. y* D' U1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。0 K" q( l7 E4 t+ ~8 k6 @& v: W
2、.htpasswd在线生成:
% M8 b: z+ v9 ]; ?3、先到.htpasswd在线生成页面中填写用户名和密码。7 M) r3 e0 q( e& O' P( T8 u1 G9 d+ v
" b2 ^0 w0 c7 b( I' E+ V4、提交后会得到一串代码。( }$ D( A% j& q' E
4 b2 X4 U+ O5 f0 M6 E5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
: ?/ Y/ b: c9 G& N) a5 U5 m" u) ~& r0 l! [! z' ^
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。 j2 H6 \2 A/ u) h
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。% R- {1 g5 R& W# n7 S3 g
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。
6 ~& x! l6 }3 b4 V( R* k' Q9 h
. V0 P) M8 q) Q* S. N0 F8 |9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。8 H, J0 [, f. q5 G) M% c7 F
10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
6 P* e$ ?$ Y) ?* v* Y# W11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。6 y5 e7 l& F0 P @# ?+ |8 Q
<Files wp-login.php>2 V# a% {; Z" C% D7 [2 h
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd" }1 Q& \1 J& [! g
AuthType Basic' o1 K) p, p" }+ U3 x
AuthName "restricted"
" O/ D4 F2 u6 L8 X: N" ~, h& ZOrder Deny,Allow# w9 q2 S# _7 S: K9 W
Deny from all( y$ A3 U( q2 n/ s, o
Require valid-user
) e8 C. l5 Y' W8 a' y6 L7 WSatisfy any5 P m3 M: S: |* _# {- X
</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。2 V: ~5 ]9 @; \+ h
/ R' y8 _+ m5 Y" O V; J
六、Wordpress防暴力破解小结
* k3 t& P3 a* K$ ]7 a1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。3 J8 e0 x7 c8 B. c
2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。- E1 I, u. @. O7 y$ p6 N2 q
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 6 o+ O c" y) v: S
m2 Z7 Q6 z5 f8 p. O5 I7 _' x |
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
' Z5 a- S: M( x1 R& a. q9 U
9 O- [1 x% s; t, j$ F, I/ E/ ?6 e
; T3 F' H5 d+ c. l- {
. [5 [* I/ a: Y& t: \2 q% H9 L
- m/ ]5 U7 g3 R" }
% f9 v# q# m6 U! M: u: J8 }
" W2 F, I! ^5 S7 V) h
0 H7 A, t4 ?6 i3 q
. e: P1 H9 Q; ?$ O, {
3 `) h, a1 w. `# f- h. _
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
