|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
* o- a9 A( f+ E* c/ E. k/ _: i+ Q
正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。+ S% P3 n* s! j
攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。
; N- H! E' j& @# F4 C+ n, _WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。' s( P) ]* k8 h5 {
本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。7 V8 j( v5 q8 [! v! N% z
.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。
+ c* L5 ?/ n) n3 s7 yWordPress加速和优化的免费Wordpress教程还有:. g& K) E) H- z
WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板/ E8 A$ a/ D9 u; q) l) e# }
一、Better WP Security全能型的Wordpress安全插件+ I# F* B( ] Z$ d7 S* q
1、Better WP Security官网:1 j: ~& s) f7 T8 ?
2、大家可以直接从后台安文明用语etter WP Security,也可以在官网下载下来再上传安装插件。 v/ d! e/ w1 M1 A
3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。
* F9 m! n; Z F# r0 h
( [) d" D, y* a8 Q3 g4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。
2 u# L. V/ {: h! q3 n# S0 P
( s* m+ {4 o! I& M$ L5、第三项是让你选择一键开启安全防护还是自定义安全设置。
3 C8 j9 H2 X' q- t; d. ~6 V, u2 X1 j; j7 g. q
6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。
' f8 ~! \& D4 ~' H, b$ w. [" |% t. ? B4 p+ ~7 z
二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制3 B- v1 J; R' p
1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。& t; U+ y5 s' _. o7 Z" |: }
/ n, G; Y% |4 Z- d2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。
, P9 S8 F' M9 `3 p* Y# I0 L) A
2 L4 B' _) ~" q* k" W: j6 M6 ?3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。- ?8 C' _$ `8 V; |
) c5 @4 c- q$ C, n
4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。9 Q+ d# t/ z) U' ]3 d
/ x! P5 m* C- l$ t' U3 ?* u三、BulletProof Security功能强大的Wordpress安全插件. ~4 v G( j) i/ o3 p
1、BulletProof Security官网:
. N6 D2 C2 L9 h" D2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大) { Q/ H Y$ L
5 E7 B+ @3 g1 d& V
3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。9 Z [, b; m& A- i$ W3 |) B; U
7 R: M( S: t& n- U1 ?四、使用Wordpress安全插件所带来的问题
, I6 L( q4 ?0 c6 x9 P1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。6 N7 X1 Q7 b* f" ^8 _/ Q
1 v9 ?# s% {; r' q+ z- Y6 g
2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。
, A- W+ @- w7 d% B; {8 {$ f; @5 \五、用.htpasswd保护Wordpress控制面板
5 c0 b Y5 E6 T& P1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。6 v3 ^& n( y$ K
2、.htpasswd在线生成:2 A, G) o1 s. F" y+ X. V o) ?0 ^
3、先到.htpasswd在线生成页面中填写用户名和密码。
& ^5 t$ s& a$ a+ l% p* U/ d
/ u1 w! P) a K! Z. N4、提交后会得到一串代码。
5 g6 @3 _" I1 O) [
- I, r1 F- k3 x5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。
4 K/ s# S/ h, j7 r1 ^8 w& c5 m: z' z; H) g' z7 h
6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。8 k1 ]7 e3 J2 k K8 t
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。0 n& ?+ W- g! T7 F" s1 {6 v
8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。4 f' F! b* d" }' s" n7 q" e" H/ c
- a: d2 s5 `9 C0 w4 L! O! z
9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。0 X& p4 Y$ S' K& V7 l4 u
10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。
" x L2 b! v( Y3 L0 i- @; d1 n11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。: c1 X$ p6 U8 Z
<Files wp-login.php>
1 _9 i, l* o6 ^5 Z/ yAuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd/ o4 `: i8 k/ l/ B
AuthType Basic
& Q' t2 r. t( Q; \3 bAuthName "restricted"$ i/ |/ T2 E2 Y" u# }" h
Order Deny,Allow
1 \' T& g: C- D! KDeny from all9 h: L# I9 ~- D2 O
Require valid-user( S) y) p! `8 h; R" K, `5 B
Satisfy any) Q, A l* t( J
</Files>12、如果你要对其它的文件实现控制,请替换你自己的文件即可。
) H2 D3 L; r% X* W+ ?
" Y [8 T7 w1 h8 m0 `六、Wordpress防暴力破解小结
$ M) _ s& r0 M+ ]1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。
9 R( i, E" C; ?$ t' k9 {, d2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。4 `: M; y, U/ Z" g) O
文章出自:免费资源部落 http://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
* u! n. z. w* d# K8 @& B8 f% I" x3 ?) S0 w. r
|
|
IP卡
狗仔卡
发表于 2013 年 6 月 10 日 15:38:29
5 l1 s7 f% ` X Y$ H0 N6 |
% P! s" F* E* h; o4 ~
3 ~, t$ C7 E1 j, n
2 \9 @4 W, C9 |9 h. `& P
# h ~4 H# f$ b0 Q, l9 m9 s. f
4 c+ |* |6 P ^0 v8 Y% Q6 J9 j
0 ^2 h' E' w E7 F0 N& w5 I
! f: e# ?2 g; e8 W) i; Z: ~ u3 B, r
/ [$ c, ]% d5 d$ }# c b6 Y
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
