正在用Wordpress的博主們一定知道最近全球興起的一波黑客鎖定Wordpress暴力破解控制面板密碼的風(fēng)波了，據(jù)CloudFlare執(zhí)行長Matthew Prince所說，所謂的暴力密碼攻擊是輸入admin的使用名稱，然后嘗試輸入數(shù)千種密碼企圖登入。

攻擊者首先掃描互聯(lián)網(wǎng)上的Wordpress網(wǎng)站，然后利用Web服務(wù)器組建的僵尸網(wǎng)絡(luò)不斷嘗試用戶名和密碼試圖登錄管理界面，攻擊者此次使用了超過9萬臺(tái)Web服務(wù)器，由于服務(wù)器比PC有更大的帶寬和連接速度，因此可以更快的發(fā)動(dòng)攻擊。

WordPress后臺(tái)登錄默認(rèn)的名稱是admin，很多朋友在安裝了Wordpress后直接就用了admin這個(gè)作為管理員密碼，于是這給了一些人可趁之機(jī)了。雖然WP的安全性已經(jīng)足夠強(qiáng)，但是暴力破解即使失敗也會(huì)給Wordpress的正常訪問帶來影響，增加服務(wù)器運(yùn)行壓力。

本篇文章就為大家分享防止Wordpress后臺(tái)被暴力破解的方法：安裝WordPress安全類插件和使用.htpasswd保護(hù)Wordpress控制面板。Wordpress安全插件不僅可以防暴力破解，還可以檢測(cè)出你當(dāng)前所用的WP的安全漏洞，幫助你改進(jìn)。

.htpasswd是一個(gè)用來限制服務(wù)器文件訪問的驗(yàn)證文件，利用.htpasswd我們可以對(duì)請(qǐng)求wp-admin文件夾和文件必須輸入密碼才能訪問，這樣可以大大提高Wordpress控制面板的安全性，防止被暴力破解密碼。#p#

WordPress防暴力破解:安全插件和用.htpasswd保護(hù)Wordpress控制面板

一、Better WP Security全能型的Wordpress安全插件

1、Better WP Security官網(wǎng)：http://wordpress.org/extend/plugins/better-wp-security/

2、大家可以直接從后臺(tái)安裝Better WP Security，也可以在官網(wǎng)下載下來再上傳安裝插件。

3、第一次運(yùn)行Better WP Security，會(huì)提示你備份一下數(shù)據(jù)庫，備份會(huì)發(fā)到你的管理員郵箱當(dāng)中。

4、第二項(xiàng)會(huì)提示你要不要允許Better WP Security修改Wordpress的核心文件，部落選擇的是“NO”，大家用時(shí)可以自己斟酌一下。

5、第三項(xiàng)是讓你選擇一鍵開啟安全防護(hù)還是自定義安全設(shè)置。

6、如果是自定義安全設(shè)置，會(huì)跳轉(zhuǎn)到狀態(tài)頁面，看到一些自己當(dāng)前WP所存在的安全問題。點(diǎn)擊安全問題后面的“Click here to Fix”修復(fù)。

 #p#

二、Better WP Security的黑名單、定時(shí)備份、安全路徑、登錄次數(shù)限制

1、Better WP Security有黑名單功能，你可以屏蔽某些IP或者搜索引擎來訪問你的Wordpress。

2、定時(shí)備份功能可以讓你的WP自動(dòng)備份并將備份好的文件發(fā)到你的管理員郵箱當(dāng)中。

3、安全路徑功能可以讓你修改你的Wordpress的登錄、后臺(tái)、注冊(cè)等路徑，防止陌生人暴力猜測(cè)用戶名與密碼。

4、Better WP Security的登錄次數(shù)限制是一個(gè)對(duì)付那些暴力破解Wordpress后臺(tái)控制面板的很好功能，一旦后臺(tái)登錄錯(cuò)誤超過了指定次數(shù)，就會(huì)停止該IP繼續(xù)登錄或者間隔一段時(shí)間才能登錄。

 #p#

三、BulletProof Security功能強(qiáng)大的Wordpress安全插件

1、BulletProof Security官網(wǎng)：http://wordpress.org/extend/plugins/bulletproof-security/

2、BulletProof Security也是一個(gè)類似于上文所講到的Better WP Security的Wordpress安全插件。功能強(qiáng)大，操作簡單方便，一鍵即可開啟。

 3、BulletProof Security在安全狀態(tài)中可以看到自己的WP的安全保持的狀態(tài)。

四、使用Wordpress安全插件所帶來的問題

1、由于Wordpress安全類的插件多是通過修改wp-config.php和.Htaccess文件來達(dá)到加強(qiáng)Wordpress安全的目的。

2、而一旦卸載了這些安全類插件，如果沒有清理以前Wordpress安全插件所修改的痕跡，很有可能導(dǎo)致WP運(yùn)行錯(cuò)誤。#p#

五、用.htpasswd保護(hù)Wordpress控制面板

1、安裝Wordpress安全插件是一個(gè)既簡單又快捷的加強(qiáng)Wordpress安全的方法，特別適合那些“懶人”或者對(duì)代碼操作不是很熟悉的新手朋友們。

2、.htpasswd在線生成：http://www.htaccesstools.com/htpasswd-generator/

3、先到.htpasswd在線生成頁面中填寫用戶名和密碼。

4、提交后會(huì)得到一串代碼。

5、將這個(gè)代碼復(fù)制到你的.htpasswd文件中，保存。沒有的話自己創(chuàng)建一個(gè)。上傳到你的網(wǎng)站的根目錄中。

6、然后將下列代碼添加到你的wp-admin目錄下的.Htaccess文件中，沒有該文件可以自己創(chuàng)建一個(gè)。

AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd

AuthType Basic

AuthName "restricted"

Order Deny,Allow

Deny from all

Require valid-user

Satisfy any

7、其中AuthUserFile是填寫你的.htpasswd文件絕對(duì)路徑，你要改成你自己的。

8、這樣當(dāng)別人要訪問你的wp-admin目錄時(shí)就會(huì)彈出要求用戶名和密碼驗(yàn)證的提示。

9、根據(jù)部落測(cè)試發(fā)現(xiàn)，如果將wp-admin目錄下的所有文件都設(shè)置為需要驗(yàn)證才能訪問，會(huì)導(dǎo)致在Wordpress前臺(tái)訪問時(shí)也出現(xiàn)要求驗(yàn)證的問題。

10、根據(jù)推測(cè)應(yīng)該是Wordpress頁面調(diào)用了wp-admin目錄中的某些文件才導(dǎo)致要求驗(yàn)證。解決的辦法就是：在.Htaccess中指定你要驗(yàn)證的文件。

11、將以下代碼放在你的網(wǎng)站根目錄下的.Htaccess就能實(shí)現(xiàn)對(duì)wp-login.php訪問實(shí)現(xiàn)驗(yàn)證控制了。

<Files wp-login.php>AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any</Files>

12、如果你要對(duì)其它的文件實(shí)現(xiàn)控制，請(qǐng)?zhí)鎿Q你自己的文件即可。

六、Wordpress防暴力破解小結(jié)

1、Wordpress防暴力破解最簡單的方法就是安裝WP安全類插件，防護(hù)全面，且不需要修改代碼，一般將wp-config.php和.Htaccess設(shè)置755可讀寫即可。

2、.htpasswd可以用來對(duì)訪問特定頁面實(shí)現(xiàn)用戶名和密碼驗(yàn)證，不光可以用在Wordpress上，也可以用其它的博客、論壇等程序上。