类别导航:
通知:目前网站正常哦!
你的位置:首页 >> 建站技术 >> wordpress安全:应对尝试密码的攻击

wordpress安全:应对尝试密码的攻击

发表日期:2011-06-19 作者:DH分类:建站技术 标签: wordpress
索引[隐藏]

前一段时间博客被攻击了,自从发了文章之后,得到了很多人得关心,也得到了有史以来的最多的评论数目:>50。很多博友提出了很多有方法,这里特别感谢: CloveDiansoixwebhosting,根据他们的建议,我总结了一下,应对这类攻击的方法:

1. 删除admin用户

针对前两次的攻击:博客被攻击某人送的六一“礼物”,攻击者都是使用admin为用户名尝试密码的,如果将admin用户删除,用自己设置的用户名访问,那么攻击者再怎么尝试都是无效的。博主可以在 wp后台的用户-->用户 里面删除。删除之前要注意新建另一个自己的管理员用户哦。

2. 最好不要暴露你的用户名

虽然没有了admin用户,但是攻击者如果聪明,就可以从你网站的信息中得到你的用户名,一样尝试密码,比如说下面的将用户名直接暴露在外面的做法是极为不妥的。 除了这点,还要注意,可以把自己的用户名设置复杂一点,这样攻击者还需要知道你的用户名,增加难度。

3. 将密码设置复杂

这个不用说,是对付这种尝试密码的最有效的屏障,也是最好的关卡。 密码设置的复杂至少包括: 有:大小写、数字、特殊字符、长度不小于6等。 没有:太多相同的字符、字典词汇、生日等。

4. 得到尝试密码的痕迹

但有人在尝试登陆的时候,给你的邮箱发一封信。这里使用 wordpress登录邮件提醒(防止攻击)可以通知。同时kan.willin的 my_visitor也有此功能。

5. 安装 Login LockDown 插件

虽然知道别人在尝试登陆你的后台,但是比较麻烦的是他一直在登陆,这很可能是利用机器人在登录,如果没有防护措施,就会一直收到登陆登陆错误提醒,这样不免会心急如焚,如果组织这种行径呢?这里推荐使用Login LockDown ,插件可以设定登陆错误的次数,超过这个次数,就不允许登陆。这样可以很好阻止这样的机器人攻击。

6. 更改登录地址,并不要在你的网页中显示这些地址

管理目录永远都是wp- admin,所以对于攻击者来说,省了个步骤来搞定一个WordPress博客,不管博主是不是觉得有必要更改这个地址,文章【转载】WordPress后台登录地址更改方法(更改wp-admin目录名)已经讲述了更改这个地址的方法,更改之后,那就不要在页面中显示这个地址,这样就白改了,呵呵。所以,自己需要记住这个地址很有必要,这样就觉得使用不方便了吧,是的。还有一个方法:http://imluren.com/2011/07/hidden-manage.html 安全和方便总是对立的。

7. 唯一浏览器、唯一ip地址登录

kan.willin对此有独特的研究,并给出了很好的解决方法,具体使用方法见:WordPress 最安全登入。使用登入检查和独一无二的user agent,使用这种方法是绝对安全了,但是如果想在其他电脑登陆,或者IP经常变化的使用比较不方便。

8. 定期备份

这个方法就是留一手,即使在被攻击得逞之后,也不会丢失数据,等恢复之后,又是一条好汉。备份的插件很多,这里推荐的还是kan.willin的 my_visitor

9. 结束语

尝试密码的攻击,只要密码设置比较复杂,是不会造成什么伤害的,基本上不会攻击成功,但是不排除有小孩喜欢这样尝试,尝试多了也会对服务器造成伤害,所以,在博客出名之后,适当防止也是必要的。

除非注明,文章均为灯火部落原创,转载请注明出处:wordpress安全:应对尝试密码的攻击-灯火部落
相关文章:
  • wordpress提高速度之五:主题中数据库定时优化(访问触发篇)
  • 网页中显示当前日期(php/jsp/javascript/flash)
  • wordpress提高速度之六:主题中数据库定时优化(WP_Cron篇)
  • wordpress安全:博客被攻击
  • wordpress安全:被垃圾评论搞的很烦
  • javascript 熬夜提醒
  • ∧回到顶部∧