在前一段的时间中,全球wordpress 网站都遭受到wp-login 暴力破解的问题,在中国的服务器上也没能幸免。在我们的部分的服务器上 已经禁止土耳其、俄罗斯、巴西等重要肉鸡聚集地IP攻击源。

希望用户们提高您的wordpress 的安全。

下面给出一些建议:

1、升级WordPress到最新版本

一般来说,新版本的WordPress安全性都会比老版本要好一些,并且解决了已知的各种安全性问题,特别当遇到重大的版本升级时,新版本可能会解决更多的关键性问题。(例如老版本WordPress有remv.php重大漏洞,可能会导致遭受DDoS攻击,升级

2、改掉wp-login.php 文件命名

在wp 根目录下有个wp-login.php 文件,暴力破解时会不断的登陆这个文件。

建议在不登陆 不使用的情况下更换wp-login.php 文件命名,例如更改为wp-login123.php.

当破解登陆时,会提示404。

当您登陆时 请该回wp-login.php

 

3、更改WordPress用户名

每个黑客都知道WordPress的管理员用户是admin,具有管理员权限,会攻击这个用户,那么你需要创建一个新用户,将其设置为管理员权限,然后删除老的admin帐号,这就能避免黑客猜测管理员的用户名。

4、设置复杂的密码

提高安全意识可以避免许多潜在的安全隐患,比如密码的选取。我们有必要为wordpress后台选取一个强口令,以防止被破解。
一个强口令包括:
1、至少有15个字符
2、包含大写字母
3、包含小写字母
4、包含数字
5、包含特殊符号,如` ! ” ? $ ? % ^ & * ( ) _ – + = { [ } ] : ; @ ‘ ~ # | < , > . ? /
6、不能与上次密码相似
7、不能包含你的名字
8、不能包含你朋友的名字
9、不能包含家庭成员的名字
10、不能包含你的生日,手机,身份证等信息

我们可以通过http://strongpasswordgenerator.com/网站自动生成强口令。

 

5、不要乱用插件或者主题。

在相当于一部分插件中存在远程安全漏洞或BUG问题。甚至很多主题存在后门。

 

6、wp-include wp-config.php

对于wp-include目录的保护,我们可以使用apache的mod_rewrite或nginx的location禁止任何用户访问wp-include的文件。
apache设置方法:
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-config\.php – [F,L]
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
对于后台密码被篡改的用户:

您可以通过cpanel 面板>>>PHPMYADMIN>>找到数据库表>>>wp_users

通过数据库找回密码

进入自己CP后台,登陆phpMyAdmin,选择要修改的数据库,找到用户表(WP默认用户表是wp_users)然后找到密码字段(user_pass),修改密码字段值(即MD5密码),修改密码字段值(即MD5密码)为:e10adc3949ba59abbe56e057f20f883e

密码即为123456

分享到: 更多