正在用Wordpress的博主們一定知道最近全球興起的一波黑客鎖定Wordpress暴力破解控制面板密碼的風波了，據(jù)CloudFlare執(zhí)行長Matthew Prince所說，所謂的暴力密碼攻擊是輸入admin的使用名稱，然后嘗試輸入數(shù)千種密碼企圖登入。

攻擊者首先掃描互聯(lián)網(wǎng)上的Wordpress網(wǎng)站，然后利用Web服務器組建的僵尸網(wǎng)絡不斷嘗試用戶名和密碼試圖登錄管理界面，攻擊者此次使用了超過9萬臺Web服務器，由于服務器比PC有更大的帶寬和連接速度，因此可以更快的發(fā)動攻擊。

WordPress后臺登錄默認的名稱是admin，很多朋友在安裝了Wordpress后直接就用了admin這個作為管理員密碼，于是這給了一些人可趁之機了。雖然WP的安全性已經(jīng)足夠強，但是暴力破解即使失敗也會給Wordpress的正常訪問帶來影響，增加服務器運行壓力。

本篇文章就為大家分享防止Wordpress后臺被暴力破解的方法：安裝WordPress安全類插件和使用.htpasswd保護Wordpress控制面板。Wordpress安全插件不僅可以防暴力破解，還可以檢測出你當前所用的WP的安全漏洞，幫助你改進。

.htpasswd是一個用來限制服務器文件訪問的驗證文件，利用.htpasswd我們可以對請求wp-admin文件夾和文件必須輸入密碼才能訪問，這樣可以大大提高Wordpress控制面板的安全性，防止被暴力破解密碼。#p#

WordPress防暴力破解:安全插件和用.htpasswd保護Wordpress控制面板

一、Better WP Security全能型的Wordpress安全插件

1、Better WP Security官網(wǎng)：http://wordpress.org/extend/plugins/better-wp-security/

2、大家可以直接從后臺安裝Better WP Security，也可以在官網(wǎng)下載下來再上傳安裝插件。

3、第一次運行Better WP Security，會提示你備份一下數(shù)據(jù)庫，備份會發(fā)到你的管理員郵箱當中。

4、第二項會提示你要不要允許Better WP Security修改Wordpress的核心文件，部落選擇的是“NO”，大家用時可以自己斟酌一下。

5、第三項是讓你選擇一鍵開啟安全防護還是自定義安全設置。

6、如果是自定義安全設置，會跳轉到狀態(tài)頁面，看到一些自己當前WP所存在的安全問題。點擊安全問題后面的“Click here to Fix”修復。

 #p#

二、Better WP Security的黑名單、定時備份、安全路徑、登錄次數(shù)限制

1、Better WP Security有黑名單功能，你可以屏蔽某些IP或者搜索引擎來訪問你的Wordpress。

2、定時備份功能可以讓你的WP自動備份并將備份好的文件發(fā)到你的管理員郵箱當中。

3、安全路徑功能可以讓你修改你的Wordpress的登錄、后臺、注冊等路徑，防止陌生人暴力猜測用戶名與密碼。

4、Better WP Security的登錄次數(shù)限制是一個對付那些暴力破解Wordpress后臺控制面板的很好功能，一旦后臺登錄錯誤超過了指定次數(shù)，就會停止該IP繼續(xù)登錄或者間隔一段時間才能登錄。

 #p#

三、BulletProof Security功能強大的Wordpress安全插件

1、BulletProof Security官網(wǎng)：http://wordpress.org/extend/plugins/bulletproof-security/

2、BulletProof Security也是一個類似于上文所講到的Better WP Security的Wordpress安全插件。功能強大，操作簡單方便，一鍵即可開啟。

 3、BulletProof Security在安全狀態(tài)中可以看到自己的WP的安全保持的狀態(tài)。

四、使用Wordpress安全插件所帶來的問題

1、由于Wordpress安全類的插件多是通過修改wp-config.php和.Htaccess文件來達到加強Wordpress安全的目的。

2、而一旦卸載了這些安全類插件，如果沒有清理以前Wordpress安全插件所修改的痕跡，很有可能導致WP運行錯誤。#p#

五、用.htpasswd保護Wordpress控制面板

1、安裝Wordpress安全插件是一個既簡單又快捷的加強Wordpress安全的方法，特別適合那些“懶人”或者對代碼操作不是很熟悉的新手朋友們。

2、.htpasswd在線生成：http://www.htaccesstools.com/htpasswd-generator/

3、先到.htpasswd在線生成頁面中填寫用戶名和密碼。

4、提交后會得到一串代碼。

5、將這個代碼復制到你的.htpasswd文件中，保存。沒有的話自己創(chuàng)建一個。上傳到你的網(wǎng)站的根目錄中。

6、然后將下列代碼添加到你的wp-admin目錄下的.Htaccess文件中，沒有該文件可以自己創(chuàng)建一個。

AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswd

AuthType Basic

AuthName "restricted"

Order Deny,Allow

Deny from all

Require valid-user

Satisfy any

7、其中AuthUserFile是填寫你的.htpasswd文件絕對路徑，你要改成你自己的。

8、這樣當別人要訪問你的wp-admin目錄時就會彈出要求用戶名和密碼驗證的提示。

9、根據(jù)部落測試發(fā)現(xiàn)，如果將wp-admin目錄下的所有文件都設置為需要驗證才能訪問，會導致在Wordpress前臺訪問時也出現(xiàn)要求驗證的問題。

10、根據(jù)推測應該是Wordpress頁面調(diào)用了wp-admin目錄中的某些文件才導致要求驗證。解決的辦法就是：在.Htaccess中指定你要驗證的文件。

11、將以下代碼放在你的網(wǎng)站根目錄下的.Htaccess就能實現(xiàn)對wp-login.php訪問實現(xiàn)驗證控制了。

<Files wp-login.php>AuthUserFile /home/wwwroot/freehao123/public_html/.htpasswdAuthType BasicAuthName "restricted"Order Deny,AllowDeny from allRequire valid-userSatisfy any</Files>

12、如果你要對其它的文件實現(xiàn)控制，請?zhí)鎿Q你自己的文件即可。

六、Wordpress防暴力破解小結

1、Wordpress防暴力破解最簡單的方法就是安裝WP安全類插件，防護全面，且不需要修改代碼，一般將wp-config.php和.Htaccess設置755可讀寫即可。

2、.htpasswd可以用來對訪問特定頁面實現(xiàn)用戶名和密碼驗證，不光可以用在Wordpress上，也可以用其它的博客、論壇等程序上。