wordpress 后台受到暴力破解怎么办?有那些常用的应对措施?

2018-12-0813:51:35 4 592 人看过

最近一直有恶意软件在破解我的后台,最夸张的是某天起床,手机邮箱一分钟之内收到了几十条登录失败提醒。此后我安装了限制登录尝试的插件,也只是降低了登录尝试的频次。

最后吓得我把能改的地方都改了。现在我把什么用户名、密码、登录地址、数据库前缀都改成了“六亲不认”的样子,才终于摆脱被【登录失败提醒】支配的恐惧。现在就来总结一下 wordpress 有哪些常用的应对暴力破解的措施。

 

wordpress 后台受到暴力破解怎么办?有那些常用的应对措施?

 

开始之前,我们需要了解的一点就是,现实中的黑客和电影里面还是有区别的,现实中的“黑客”只有极少情况下是针对特定目标开展攻击的,因为这样既不经济,成功率也低,如果你网站不是包含了什么政府机密和大量的银行卡信息等,没人愿意做这种傻事。

黑客一般使用漫游器爬网,自动嗅取网络上存在已知漏洞的应用,然后利用 Web 服务器组建的僵尸网络开展攻击(估计破解我后台就是这种东西,限制 IP 都抵挡不住)。而过程的自动化意味着他们可以批量的对网站开展攻击,包括暴力破解。这就解释了为什么我们的普通的博客网站也会受到暴力破解。因为这种攻击是自动化,无差别的。针对的也不是你的网站或者个人,只是我们网站存在已知的漏洞,并出现在了自动脚本的雷达上。

所以网络高度发达的年代,不要认为我们与世无争,就可以偏安一偶。事实上,只要我们使用网络就不可避免地被挟持进网络攻防的洪流中。只是从事网络安全的个人、组织、服务商等为我们规避了大部分可能的安全隐患,我们生活其中,感觉风平浪静罢了。所以,再小的网站,安全的问题都是不可忽视的,毕竟一旦被破解,就算我们自己没信息泄露和财产损失,也不能保证别人不会利用我们的网站做坏事。黑客攻击您的网站也可能有不良的使用意图:

【驱动器下载】 – 黑客可以使用您的网站来感染访问者的计算机,其中包含恶意软件,如后门,关键跟踪器,ransomware,病毒或其他恶意软件,以捕获可用于自己获取的信息。【重定向】 – 有时黑客会将访问者从您的网站重定向到其他网站,为他们产生联属营收。【系统资源】– 另一种可能性是它们接管您的服务器,并使用硬件发送垃圾邮件,执行拒绝服务或暴力攻击等等。当然,如果基于使用情况,这将很容易让您的服务器和您的站点放在黑名单上,或者将您的托管成本加起来。

 

对于 wordpress 来说,wordpress、主题、插件每次更新都会修复一些新近的漏洞,我们一定要及时更新,避免不必要的安全隐患。好了,进入正题,那么我们最常用的应对暴力破解的方法有哪些呢?总结如下:

 

1、修改 wordpress 默认登录用户名,使用高强度的密码

wordpress 在安装的时候已经支持自定义登录用户名了,但是还有很多站长使用默认的【admin】作为自己的后台登录名。方便记忆的同时,也为暴力破解打开方便之门。如果你的用户名确定了,破解软件只需要对你的密码进行反复的登录尝试,就可大大提高破解的概率。

如果同样使用了强度比较弱的密码,就是随时随地将自己的网站暴露在风险中。只是什么时候被发现和破解的问题了。所以修改默认的登录用户名和使用高强度的密码是应对暴力破解的的第一道门,这道门一定不能丢。

常用的修改 wordpress 用户名的方法有 wordpress 后台修改、插件修改、数据库表修改、数据库命令行修改等。行动派博客后期会出一个总结文章。

 

2、使用限制登录尝试插件

我们日常使用的应用几乎都有限制登录尝试的功能,比如输错密码到一定次数,就要求输入验证码,手机验证等等,甚至被当成异常账号进行锁定。但 wordpress 是没有自带这个功能的,意味着如果有人想破解你的后台,可以使用破解软件进行无限次的登录尝试,这也增大了被破解的风险。

这时使用【限制登录尝试】插件不失为一个明智的选择。常用插件有 Login Lockdown、Limit Login Attempts 等。这里给大家推荐的是 Limit Login Attempts。

插件的作用,是登录失败的次数到设置的次数,就会拒绝该用户名的登录请求。同时记录用户名和登录的 ip,还可以将多次登录失败的 ip 添加到插件的黑名单中,可以彻底禁止该 ip 的登录。人性化的地方,插件还支持登录异常邮件提醒管理员。是不是很赞。

如果说插件不能彻底禁止登录失败尝试,至少它大大降低了登录尝试频次,同时提高了登录尝试的成本(需要使用不同 ip 进行登录尝试)。这是防止暴力破解的第二道门。

wordpress 后台受到暴力破解怎么办?有那些常用的应对措施?

 

3、修改后台登录地址

我们都知道,wordpress 默认的登录路径是【http://域名/wp-admin】或者【http://域名/wp-login.php】。当然破解软件也是知道的,所以我们可以通过往 functions.php 添加代码的方式修改后台登录地址。代码如下:

  1. add_action('login_enqueue_scripts','login_protection');
  2. function login_protection(){
  3. if($_GET['key'] !='pass')header('Location: /404.html');
  4. }

添加以上代码后,我们的后台登录地址设置成类似【http://域名/wp-login.php?key=pass】这种形式,其中代码中的“key”和“pass”可以自行定义,建议设置成只有你知道的唯一的登录地址。还可以修改代码中“404.html”对默认的登录路径【http://域名/wp-admin】或者【http://域名/wp-login.php】进行重定向,这里是重定向到 404 页面。实际使用建议重定向到网站首页即可。这是防止暴力破解的第三道门。

 

4、修改 wp-login.php 登录文件

更改 wp-login.php 文件名称,也可以达到隐藏后台登录地址的目的。这里以将 wp-login.php 改成 action.php 为例。1、将 wordpress 根目录的 wp-login.php 名称改为 action.php。2、然后找到wp-includes目录下的general-template.php文件打开,将代码里面包含的 wp-login.php 改为 action.php 即可,大概 5 个左右。

注意事项:以下代码这个位置的 wp-login.php 不要改,否则别人使用登录路径【http://域名/wp-admin】仍能访问修改后的登录地址。

  1. function wp_login_url($redirect = ''$force_reauth = false) {
  2. $login_url = site_url('wp-login.php', 'login');
  3. function wp_login_url($redirect = ''$force_reauth = false) {
  4. $login_url = site_url('wp-login.php', 'login');

结合第 3 步中的修改,我们的登录地址就变成了【http://域名/action.php?key=pass】,其中【action】、【key】和【pass】都是自定义的。这让别人无法获知我们真实的登录地址,如果黑客想爆破一道门,连大门都找不到,爆破就无从说起了。

 

5、隐藏 wordpress

为什么选择放在最后说,因为经过上面的步骤,已经基本可以解决 wordpress 暴力破解的问题。对网站有更高要求的朋友,还可以考虑使用付费的 Hide My WP 插件,这是一个隐藏 wordpress 的插件,使用插件后,别人就看不出你当前使用的是 wordpress 系统了,看源代码也看不出来的。可以防止很多针对 wordpress 的网络攻击。

插件基本功能如下:1、去除 WP 版本号;2、修改后台地址;3、禁用 WP 归档、分类、标签等;4、隐藏其它 WP 文件;5、禁用订阅;6、更改插件目录;7、隐藏登录地址等。

weinxin
博客小程序【一起行动派】
欢迎访问行动派博客小程序,小程序和博客同步更新,查看内容更加方便!
Action

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:4   其中:访客  2   博主  2

    • avatar boke112导航 4

      不怕麻烦的话直接把wp-login.php改名最好,等自己想要登录就改回来,不登录就改成其他名字

        • avatar Action Admin

          @boke112导航 是的,改wp-login.php文件名短期来看可以说万无一失,可惜太麻烦了。考虑长远还是直接改登录地址更方便一些。

        • avatar WordPress建站吧 4

          我腾讯云服务器估计就是这么被黑的,东西都给我删完了。

            • avatar Action Admin

              @WordPress建站吧 这个时候只能表示同情了,防不胜防,唯有做好备份了。