WonderCSS

防范大规模恶意破解 WordPress 管理员密码

你是否担心你的 WordPress 网站遭到了大规模的暴力破解攻击?这些攻击者们先扫描互联网上的 WordPress 网站,然后利用 Web 服务器组建的僵尸网络不断尝试用户名和密码试图登录管理后台。

研究其攻击手段的逻辑性可以得出,攻击者主要是首先扫描并确认是否为 WordPress 网站(wp_generator暴露出很多风险),然后通过穷举法攻击 WordPress 的默认用户名(安装时默认为admin)。我们可以相对应的通过以下四个步骤来减少被攻击的机会:

一 在当前 functions.php 添加以下代码去掉 WordPress 版本信息,减少被扫描到的机会。


remove_action( 'wp_head', 'wp_generator');

二 默认的用户名不要为 admin,通过一下 SQL 修改 admin 的用户名:


UPDATE wp_users SET user_login = 'newusername' WHERE user_login =  'admin';

三 安装 Limit Login Attempts 插件,限制登陆尝试次数,防止通过穷举法获取后台密码。

Limit Login Attempts 设置中 allowed retries 为可尝试登录的次数,minutes lockout 为锁定时间(单位分钟)。

四 出于作者信息的暴露,尽量隐藏你的管理员名称。比如将经常发表文章的用户设置成作者或投稿者,这样即使上述三条都失效了也能最大程度的减少损失。

By 于湛 发布于 2013.04.28 2,671 次浏览

防范大规模恶意破解 WordPress 管理员密码》上有2条评论

  1. huakang

    WordPress安全方面已经很不错了,DEDE屎一样的安全性……

    回复
  2. Pingback引用通告: 如何养成让你的WordPress网站更安全的好习惯 | WonderCSS

发表评论

电子邮件地址不会被公开。 必填项已用*标注