wordpress 后台受到暴力破解怎么办?

2019年12月5日14:36:27 发表评论 150 次浏览
摘要

不知道wordpress 后台受到暴力破解怎么办?也不知道有哪些应对措施?赶快get一下吧,超实用的技能

开始之前,我们需要了解的一点就是,现实中的黑客和电影里面还是有区别的,现实中的“黑客”只有极少情况下是针对特定目标开展攻击的,因为这样既不经济,成功率也低,如果你网站不是包含了什么政府机密和大量的银行卡信息等,没人愿意做这种傻事。

黑客一般使用漫游器爬网,自动嗅取网络上存在已知漏洞的应用,然后利用 Web 服务器组建的僵尸网络开展攻击(估计破解我后台就是这种东西,限制 IP 都抵挡不住)。而过程的自动化意味着他们可以批量的对网站开展攻击,包括暴力破解。这就解释了为什么我们的普通的博客网站也会受到暴力破解。因为这种攻击是自动化,无差别的。针对的也不是你的网站或者个人,只是我们网站存在已知的漏洞,并出现在了自动脚本的雷达上。

所以网络高度发达的年代,不要认为我们与世无争,就可以偏安一偶。事实上,只要我们使用网络就不可避免地被挟持进网络攻防的洪流中。只是从事网络安全的个人、组织、服务商等为我们规避了大部分可能的安全隐患,我们生活其中,感觉风平浪静罢了。所以,再小的网站,安全的问题都是不可忽视的,毕竟一旦被破解,就算我们自己没信息泄露和财产损失,也不能保证别人不会利用我们的网站做坏事。黑客攻击您的网站也可能有不良的使用意图:

【驱动器下载】 – 黑客可以使用您的网站来感染访问者的计算机,其中包含恶意软件,如后门,关键跟踪器,ransomware,病毒或其他恶意软件,以捕获可用于自己获取的信息。【重定向】 – 有时黑客会将访问者从您的网站重定向到其他网站,为他们产生联属营收。【系统资源】– 另一种可能性是它们接管您的服务器,并使用硬件发送垃圾邮件,执行拒绝服务或暴力攻击等等。当然,如果基于使用情况,这将很容易让您的服务器和您的站点放在黑名单上,或者将您的托管成本加起来。

对于 wordpress 来说,wordpress、主题、插件每次更新都会修复一些新近的漏洞,我们一定要及时更新,避免不必要的安全隐患。好了,进入正题,那么我们最常用的应对暴力破解的方法有哪些呢?总结如下:

1、修改 wordpress 默认登录用户名,使用高强度的密码

wordpress 在安装的时候已经支持自定义登录用户名了,但是还有很多站长使用默认的【admin】作为自己的后台登录名。方便记忆的同时,也为暴力破解打开方便之门。如果你的用户名确定了,破解软件只需要对你的密码进行反复的登录尝试,就可大大提高破解的概率。

如果同样使用了强度比较弱的密码,就是随时随地将自己的网站暴露在风险中。只是什么时候被发现和破解的问题了。所以修改默认的登录用户名和使用高强度的密码是应对暴力破解的的第一道门,这道门一定不能丢。

常用的修改 wordpress 用户名的方法有 wordpress 后台修改、插件修改、数据库表修改、数据库命令行修改等。

2、修改后台登录地址

我们都知道,wordpress 默认的登录路径是【http://域名/wp-admin】或者【http://域名/wp-login.php】。当然破解软件也是知道的,所以我们可以通过往 functions.php 添加代码的方式修改后台登录地址。代码如下:

 

添加以上代码后,我们的后台登录地址设置成类似【http://域名/wp-login.php?key=pass】这种形式,其中代码中的“key”和“pass”可以自行定义,建议设置成只有你知道的唯一的登录地址。还可以修改代码中“404.html”对默认的登录路径【http://域名/wp-admin】或者【http://域名/wp-login.php】进行重定向,这里是重定向到 404 页面。实际使用建议重定向到网站首页即可。这是防止暴力破解的第三道门。

 

3、修改 wp-login.php 登录文件

更改 wp-login.php 文件名称,也可以达到隐藏后台登录地址的目的。这里以将 wp-login.php 改成 test.php 为例。

1、将 wordpress 根目录的 wp-login.php 名称改为 test.php。

2、然后找到wp-includes目录下的general-template.php文件打开,将代码里面包含的 wp-login.php 改为 test.php 即可,总共5 个,一定要要记得:只修改4处。

结合第 2 步中的修改,我们的登录地址就变成了【http://域名/test.php?key=pass】,其中【test】、【key】和【pass】都是自定义的。这让别人无法获知我们真实的登录地址,如果黑客想爆破一道门,连大门都找不到,爆破就无从说起了。

注意事项:

1,修改wp-login.php文件名称后,一定要将该文件的内容中所有关于“wp-login.php”关键字改为“test.php”(与前文保持一致,可自定义)

2,修改general-template.php文件中的关键字“wp-login.php”为“test.php”,一共有4处。

3,以下代码这个位置的 “wp-login.php”关键字一定不要改,否则别人使用登录路径【http://域名/wp-admin】仍能访问修改后的登录地址。

 

 

---本文完!!!---

admin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: