WordPress防暴力破解:安全插件和用.htpasswd保护WordPress控制面板

免费教程   2013年04月16日 17:15  

Wordpress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板

正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入admin的使用名称,然后尝试输入数千种密码企图登入。

攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面,攻击者此次使用了超过9万台Web服务器,由于服务器比PC有更大的带宽和连接速度,因此可以更快的发动攻击。

WordPress后台登录默认的名称是admin,很多朋友在安装了Wordpress后直接就用了admin这个作为管理员密码,于是这给了一些人可趁之机了。虽然WP的安全性已经足够强,但是暴力破解即使失败也会给Wordpress的正常访问带来影响,增加服务器运行压力。

本篇文章就为大家分享防止Wordpress后台被暴力破解的方法:安装WordPress安全类插件和使用.htpasswd保护Wordpress控制面板。Wordpress安全插件不仅可以防暴力破解,还可以检测出你当前所用的WP的安全漏洞,帮助你改进。

.htpasswd是一个用来限制服务器文件访问的验证文件,利用.htpasswd我们可以对请求wp-admin文件夹和文件必须输入密码才能访问,这样可以大大提高Wordpress控制面板的安全性,防止被暴力破解密码。

WordPress加速和优化的免费Wordpress教程还有:

WordPress防暴力破解:安全插件和用.htpasswd保护Wordpress控制面板

一、Better WP Security全能型的Wordpress安全插件

1、Better WP Security官网:

  • 1、WP官网:https://wordpress.org/extend/plugins/better-wp-security/

2、大家可以直接从后台安装Better WP Security,也可以在官网下载下来再上传安装插件。

3、第一次运行Better WP Security,会提示你备份一下数据库,备份会发到你的管理员邮箱当中。

Better WP Security第一次运行

4、第二项会提示你要不要允许Better WP Security修改Wordpress的核心文件,部落选择的是“NO”,大家用时可以自己斟酌一下。

Better WP Security修改核心文件

5、第三项是让你选择一键开启安全防护还是自定义安全设置。

Better WP Security一键开启

6、如果是自定义安全设置,会跳转到状态页面,看到一些自己当前WP所存在的安全问题。点击安全问题后面的“Click here to Fix”修复。

Better WP Security点击修复

二、Better WP Security的黑名单、定时备份、安全路径、登录次数限制

1、Better WP Security有黑名单功能,你可以屏蔽某些IP或者搜索引擎来访问你的Wordpress。

Better WP Security黑名单

2、定时备份功能可以让你的WP自动备份并将备份好的文件发到你的管理员邮箱当中。

Better WP Security定时备份

3、安全路径功能可以让你修改你的Wordpress的登录、后台、注册等路径,防止陌生人暴力猜测用户名与密码。

Better WP Security修改路径

4、Better WP Security的登录次数限制是一个对付那些暴力破解Wordpress后台控制面板的很好功能,一旦后台登录错误超过了指定次数,就会停止该IP继续登录或者间隔一段时间才能登录。

Better WP Security限制登录次数

三、BulletProof Security功能强大的Wordpress安全插件

1、BulletProof Security官网:

  • 1、WP官网:https://wordpress.org/extend/plugins/bulletproof-security/

2、BulletProof Security也是一个类似于上文所讲到的Better WP Security的Wordpress安全插件。功能强大,操作简单方便,一键即可开启。(点击放大)

BulletProof Security功能强大

3、BulletProof Security在安全状态中可以看到自己的WP的安全保持的状态。

BulletProof Security安全状态

四、使用Wordpress安全插件所带来的问题

1、由于Wordpress安全类的插件多是通过修改wp-config.php和.Htaccess文件来达到加强Wordpress安全的目的。

BulletProof Security修改代码

2、而一旦卸载了这些安全类插件,如果没有清理以前Wordpress安全插件所修改的痕迹,很有可能导致WP运行错误。

五、用.htpasswd保护Wordpress控制面板

1、安装Wordpress安全插件是一个既简单又快捷的加强Wordpress安全的方法,特别适合那些“懒人”或者对代码操作不是很熟悉的新手朋友们。

2、.htpasswd在线生成:

  • 1、.htpasswd生成:https://www.htaccesstools.com/htpasswd-generator/
  • 2、.htpasswd后缀名在Windows很难创建,可以下载示例:.htpasswd文件下载

3、先到.htpasswd在线生成页面中填写用户名和密码。

.htpasswd填写用户名和密码

4、提交后会得到一串代码。

.htpasswd提到代码

5、将这个代码复制到你的.htpasswd文件中,保存。没有的话自己创建一个。上传到你的网站的根目录中。

.htpasswd保存下来

6、然后将下列代码添加到你的wp-admin目录下的.Htaccess文件中,没有该文件可以自己创建一个。


AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

7、其中AuthUserFile是填写你的.htpasswd文件绝对路径,你要改成你自己的。

8、这样当别人要访问你的wp-admin目录时就会弹出要求用户名和密码验证的提示。

.htpasswd密码提示

9、根据部落测试发现,如果将wp-admin目录下的所有文件都设置为需要验证才能访问,会导致在Wordpress前台访问时也出现要求验证的问题。

10、根据推测应该是Wordpress页面调用了wp-admin目录中的某些文件才导致要求验证。解决的办法就是:在.Htaccess中指定你要验证的文件。

11、将以下代码放在你的网站根目录下的.Htaccess就能实现对wp-login.php访问实现验证控制了。


<Files wp-login.php>
AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

12、如果你要对其它的文件实现控制,请替换你自己的文件即可。

.htpasswd指定文件

六、Wordpress防暴力破解小结

1、Wordpress防暴力破解最简单的方法就是安装WP安全类插件,防护全面,且不需要修改代码,一般将wp-config.php和.Htaccess设置755可读写即可。

2、.htpasswd可以用来对访问特定页面实现用户名和密码验证,不光可以用在Wordpress上,也可以用其它的博客、论坛等程序上。

文章出自:免费资源部落 https://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。

十个便宜VPS主机分享-VPS服务器建站和搭建应用服务体验
2014年六大免费VPS主机-免费VPS申请、使用和点评

您或许对下面这些文章有兴趣:                    本月吐槽辛苦排行榜

在这个部落村庄里,已经有80 位神马家族成员冒出泡来在农场开始干活了
  • 沙发,很赞!

    酸柠檬 回复:

    @贺明的小站, 把第二个给坐了,不给netman

    酸柠檬 回复:

    @酸柠檬, 把第三个也给占了

    明月 回复:

    @贺明的小站, 哦,我来了

    爱特微博客 回复:

    @明月, 我也好久没坐了,过过瘾

    宅范儿 回复:

    @爱特微博客, 很好的免费资源,教程也很不错

    Harry 回复:

    @贺明的小站, 我也好久没坐了,过过瘾 哇哈哈

    这是农场的第 1 块农田,部落批准 [贺明的小站] 在[2013-4-16 17:22]开垦完成.
  • babytomas

    我擦 。。。一瞬间啊!!!

    网赚那些事 回复:

    @babytomas, 这个有用,安全还是得做好的

    这是农场的第 2 块农田,部落批准 [babytomas] 在[2013-4-16 17:27]开垦完成.
  • 疯子 12

    我这边才 17:19。。。

    网赚那些事 回复:

    @疯子, 感觉时间真对不上,有时候检测不到啊。

    这是农场的第 3 块农田,部落批准 [疯子] 在[2013-4-16 17:34]开垦完成.
  • 啊哈哈…我的用户名不是admin

    babytomas 回复:

    @大喇叭, 我表示我的也不是,你猜猜我用户名是什么???

    大喇叭 回复:

    @babytomas, babytomas 还是 zntec

    babytomas 回复:

    @大喇叭, 是babytech,密码也很简单、是123

    大喇叭 回复:

    @babytomas, :mrgreen: :mrgreen: 那要什么时候进去玩玩了..

    这是农场的第 4 块农田,部落批准 [大喇叭] 在[2013-4-16 17:50]开垦完成.
  • 我也没用admin当用户名!咋的站点不重要,就让他破吧

    这是农场的第 5 块农田,部落批准 [酸柠檬] 在[2013-4-16 17:58]开垦完成.
  • babytomas

    我搞你第五种的时候,显示wp-login.php不存在了。我认为应该是目录错了,但是貌似directadmin的目录本来就是/domains/xxx.xxx/public_html/ 啊 。。。

    qi 回复:

    @babytomas, 前面可能还有,应该是/home//domains/xxx.xxx/public_html/这样的。

    babytomas 回复:

    @qi, 话说我尝试了之后还是一样不可以啊 。。。

    这是农场的第 6 块农田,部落批准 [babytomas] 在[2013-4-16 18:12]开垦完成.
  • babytomas

    不知不觉的我 LV17 了 。。。你这个等级制度真多啊、我那个才 LV7 。。。。。。。。。。。。

    表示最近觉得 YH 其实也挺好玩的,而且现在也开放国人很久了。稳定可靠(删除你主机之前会和你说的,并且只要不是什么DL、垃圾站、什么的几乎不管 。。。我表示采集站都没问题)

    qi 回复:

    @babytomas, 厉害呀,17级的话评论应该快上千了。最高级是20级。
    Youhost会提前一个月提醒,话说收到提醒之后,该怎么激活?我收到过一次,要我登录什么。

    babytomas 回复:

    @qi, 里面应该有一个链接的吧,点击链接登录账户就激活了 。。。我现在有一个做附件的放在3owl、都稳定了好多个月了 。。只要几个月内有访问量(看起来是访问量、其实是下载量)就没关系了

    大喇叭 回复:

    @babytomas, 怎么会这么多的啊

    babytomas 回复:

    @大喇叭, 因为我是babytomas

    这是农场的第 7 块农田,部落批准 [babytomas] 在[2013-4-16 18:18]开垦完成.
  • OYOY 20

    楼上的。。。采集站。。。

    这是农场的第 8 块农田,部落批准 [OYOY] 在[2013-4-16 18:22]开垦完成.
  • 说的很全了。最重要一点,我觉得是密码至少要在15位以上且包含大小写字母数字特殊符号。
    说到底,还是要布置强密码才行!

    这是农场的第 9 块农田,部落批准 [Teddysun] 在[2013-4-16 18:40]开垦完成.
  • ss

    不必用插件,改wp-login.php文件名即可

    go 回复:

    @ss, 我也是,直接改名wp-login.php

    这是农场的第 10 块农田,部落批准 [ss] 在[2013-4-16 18:45]开垦完成.
  • 我两个月前遇到过这个问题,和这篇文章里的黑客是一回事吗?当时到处找解决方法……

    qi 回复:

    @左尔德, 有可能是有人盯上了。

    这是农场的第 11 块农田,部落批准 [左尔德] 在[2013-4-16 20:42]开垦完成.
  • yhigh 5

    真是不明白DEDE为什么那么多漏洞

    qi 回复:

    @yhigh, 看到一些主机商还拒绝大家安装dede,原因是怕dede给服务器带来漏洞。

    这是农场的第 12 块农田,部落批准 [yhigh] 在[2013-4-16 20:52]开垦完成.
  • exexue

    黑客黑客,黑夜中的不速之客!!

    这是农场的第 13 块农田,部落批准 [exexue] 在[2013-4-16 21:12]开垦完成.
  • 甜菜 3

    我没用admin当用户名….

    qi 回复:

    @甜菜, 我也没有。

    这是农场的第 14 块农田,部落批准 [甜菜] 在[2013-4-16 21:38]开垦完成.
  • 明月 20

    不用的时候就把后来改名目录行不,要写文章的时候改回去,哈哈。

    qi 回复:

    @明月, 那样挺麻烦的。

    这是农场的第 15 块农田,部落批准 [明月] 在[2013-4-16 21:46]开垦完成.
  • nirenr 5

    用sablog很安全的

    qi 回复:

    @nirenr, sablog做得确实也很好。

    这是农场的第 16 块农田,部落批准 [nirenr] 在[2013-4-16 22:20]开垦完成.
  • Linode被入侵了,绑定信用卡的朋友要注意换卡了!

    qi 回复:

    @胡倡萌, 一般也就是一张信用卡。

    hot8bbs 回复:

    @胡倡萌, 不要用信用卡网购.Linode只收信用卡,这种即使口碑再好,也不和他打交道.因为很多难以控制的因素,譬如你说的被入侵导致绑定信用卡…

    这是农场的第 17 块农田,部落批准 [胡倡萌] 在[2013-4-16 23:07]开垦完成.
  • 太恐怖了 :eek:

    这是农场的第 18 块农田,部落批准 [peach5460] 在[2013-4-17 06:53]开垦完成.
  • Nicky 17

    表示用了插件,一旦登陆错误自动跳转到国家计算机应急中心。。

    这是农场的第 19 块农田,部落批准 [Nicky] 在[2013-4-17 07:07]开垦完成.
  • 全是英文,表示很有压力

    明月 回复:

    @爱特微博客, 用金山

    这是农场的第 20 块农田,部落批准 [爱特微博客] 在[2013-4-17 10:02]开垦完成.
  • 小6 1

    我没用wp哈哈,没有压力

    这是农场的第 21 块农田,部落批准 [小6] 在[2013-4-17 11:59]开垦完成.
  • cashing 12

    留着以后看看 应该会用到

    这是农场的第 22 块农田,部落批准 [cashing] 在[2013-4-17 15:22]开垦完成.
  • 刘洁 2

    太吓人了

    这是农场的第 23 块农田,部落批准 [刘洁] 在[2013-4-17 17:53]开垦完成.
  • Gimhoy 3

    嗯,刚开始建站的时候就注意这些问题了

    这是农场的第 24 块农田,部落批准 [Gimhoy] 在[2013-4-17 22:33]开垦完成.
  • 这中类型的插件,说不准会有什么遗留问题,最好是本地经过详细测试后再到线上用,修改下login.php或者用limit login 插件。防木马就用Exploit Scanner

    qi 回复:

    @ksharpdabu, 安全插件一般会修改一些代码,如果对这方面不懂的话,一旦卸载了就可能出现问题了。

    ksharpdabu 回复:

    @qi,最好的方法,勤备份 ,哈哈

    这是农场的第 25 块农田,部落批准 [ksharpdabu] 在[2013-4-20 12:02]开垦完成.
  • Jed 3

    哪个插件好一些呢?我看着貌似第一个功能更棒呢!欢迎大家访问[url]https://www.jygongshi.com[/url]给我提建议哦! :mrgreen:

    qi 回复:

    @Jed, 最好的话,自己手动改代码。

    Jed 回复:

    @qi, 你好啊,我又来了。我想问下,那个评论回复进行通知如何实现?

    qi 回复:

    @Jed, 是用插件搞定的,参考:[url]https://www.freehao123.com/wordpress-pinglun-huifu/[/url]

    这是农场的第 26 块农田,部落批准 [Jed] 在[2013-4-21 11:39]开垦完成.
  • Jed 3

    谢谢哈……我是代码白痴来着。。。。。

    这是农场的第 27 块农田,部落批准 [Jed] 在[2013-4-21 13:42]开垦完成.
  • 戈多 2

    老大可以推荐个类似https://www.iriver.com.cn/html/support/sn_inquire/ 的wp插件么,可上传及查询产品系列号,就是能连通数据库做防伪查询的防伪查询。

    qi 回复:

    @戈多, 看看这个行不行。https://wordpress.org/extend/plugins/query-multiple-taxonomies/

    戈多 回复:

    @qi, 老大,功能差不多,足够强大,问题是英文的,能汉化么,我对WP不太熟悉,一直用国内的cms。

    这是农场的第 28 块农田,部落批准 [戈多] 在[2013-5-6 11:42]开垦完成.
  • 六花 1

    :?: 可惜被黑之前没看到这篇文章。。被添加了个空白的管理员账户,啥都木有了。还好有备份哎

    qi 回复:

    @六花, 你的WP就是被暴力破解的?

    这是农场的第 29 块农田,部落批准 [六花] 在[2013-5-24 00:50]开垦完成.
  • opoo 6

    好吧,表示发现你的文章被抄袭了,作者不是你,但内容没变,插图水印都没改。

    qi 回复:

    @opoo, 貌似整站都被人抄袭了,最可怕的是我看到有一些人手动抄袭,利用我的文章伪原创,去掉我的水印,修改链接地址,然后添加和删除一些词语,最后在度娘那里获得了排名。

    opoo 回复:

    @qi, 被一些网站抄袭后,可能人家的排名在前面,搜索引擎会觉得那才是原创!!
    在判断原创这方面度娘一直做得很垃圾。谷歌貌似正在研究新算法处理这种情况。

    qi 回复:

    @opoo, 是呀,百度这就是最让人无语的地方。

    hot8bbs 回复:

    @qi, 这种站我见过几个,到百度那里投诉,若是谷歌是没问题的,一投诉马上取消收录,度娘比较垃圾.总之中文站这里抄袭太严重,而且是大战抄小站.英文站就没有这个问题

    qi 回复:

    @hot8bbs, 是的,做中文博客的悲哀。

    这是农场的第 30 块农田,部落批准 [opoo] 在[2013-5-25 14:35]开垦完成.
  • 这是一篇让博主们受益匪浅的教程,*裂支持。

    这是农场的第 31 块农田,部落批准 [雨樹&烏鴉] 在[2013-6-19 12:39]开垦完成.
  • 登陆页面加了验证码,应该没事

    qi 回复:

    @0okmnbvcxzx, 这个也可以,防机器人穷举。

    这是农场的第 32 块农田,部落批准 [0okmnbvcxzx] 在[2013-8-6 08:17]开垦完成.
  • ./htaccess是好方法!

    这是农场的第 33 块农田,部落批准 [vfhky] 在[2013-8-26 17:00]开垦完成.
  • 将wp-login.php改名,就好了~

    qi 回复:

    @不认识, 改名后不影响其它的使用吗?

    不认识 回复:

    @qi, 除了登录时要使用新名称之外,暂未发现其它影响。

    这是农场的第 34 块农田,部落批准 [不认识] 在[2013-12-25 09:25]开垦完成.
  • 消停了几个月之后的今天,又有一个人不厌其烦的来尝试我的后台密码,恶心的是我明明加了登录验证码和尝试次数限制,不知道怎么就对它没起作用,今天整这个htaccess的,为什么我自己密码输入正确了都进不去呢?

    hot8bbs 回复:

    限制登录ip 加些弱智问答,譬如 “靠谱是美女还是帅哥”还有验证码不要用太简单的,简单的机器都可以识别了,可以用谷歌吭爹验证码recaptacha,这些简单措施可以有效解决你的困扰 这类插件wp上一大堆

    这是农场的第 35 块农田,部落批准 [靠谱分享] 在[2014-1-13 14:14]开垦完成.
  • 好帖

    这是农场的第 36 块农田,部落批准 [带着幾米去旅行] 在[2014-5-17 21:36]开垦完成.
看贴要回贴有N种理由!看帖不回贴的后果你懂得的!


(Ctrl + Enter提交)   

部落快速搜索栏

热门点击排行榜

网站导航栏

X
返回顶部