幫WordPress後台築城牆

這一篇你可以看成是:: corAusir :: 程式逗設計的這一篇:甘道夫,我的 WordPress 被攻破了 [ WP 駭客記 ]的延伸閱覽,因為那一篇文章只提出了問題的所在但是並沒有告訴大家解決的方法,所以高登就發這一篇文來補充說明一下。

或許是原作者Ausir事後覺得拿我當例子有些不妥,所以曾透過朋友來致意,但是我告訴他不在意,為什麼呢?因為使用者名稱本來就是一直攤在陽光下的,你用奇摩、Gmail或是Hotmail別人知道你的信箱自然也就知道你的使用者名稱了,所以知道使用者名稱沒什麼大不了的,但是你的密碼強度就很重要了,這是稍有資訊安全概念的人都知道的,但是一般人就是「懶」!所以常常會用萬用密碼(每一個地方用的密碼都一樣),這樣子密碼如果外洩了嚴重性就可想而知了!

就Ausir所提出的問題一樣其實高登早就看過也知道這種的危機,但是一樣「懶」!所以也沒有採取進一步的動作,現在既然被抓包了就趕緊來補救一下:

Limit Login Attempts外掛

看到外掛名稱你應該就猜到要作什麼用的:「限制登入錯誤的次數」,用這一個簡單的外掛就可以防止別人來猜你的密碼,甚至在別人猜你的密碼時你就會知道了。

外掛網址:http://wordpress.org/extend/plugins/limit-login-attempts,如果可以由後台安裝就直接打外掛名稱搜尋安裝就好了,不行的話就照原來的方式上傳啟用。

外掛設定

這個外掛設定的項目不是很多,請由〔設定〕找到〔Limit Login Attempts〕的設定頁面:

最上面的「Statistics」是告訴你阻擋了幾次的入侵

接下來的「Options」則是你可以設定的項目,我就圖中的內定值來解釋它的含義:

  • Lockout:允許4次重試,錯誤的話鎖定20分鐘,頒定4次之後延長為24小時,24小時後解除鎖定。
  • Site Connection:直接連線或是透過代理伺服器Proxy連線。
  • Handle Cookie Login:是否處理Cookie
  • Notify on lockout:發生鎖定時的通知1. 記錄IP(在這一個後台介面)2. 有4次鎖定發Email通知。
Limit Login Attempts外掛

外掛啟用之後如果登入錯誤就會記錄次數,像這樣子:

Limit Login Attempts外掛

真的太超過就把你Ban掉!

還有喔

高登就好人作底再加一些料:

變更管理者名稱請服用之前介紹過的:用WP-optimize優化WordPress。還有一點也很重要:

把你的wp-content/plugins跟wp-content/themes兩個目錄藏起來,這是沒有藏起來之前你輸入plugins目錄就可以看到你有哪些外掛,雖然不見得這些都是有啟用的,但總是被人看光光有些不爽!

Limit Login Attempts外掛

解決的方法很簡單:放一個空的「index.html」在這兩個目錄就可以了,還有如果你的圖床不想讓人瀏覽的話也如法炮製。

如果您是第一次來到本站,而且覺得本站的內容不錯的話,建議你透過 訂閱 本站的方式,隨時取得本站的最新內容。同時也歡迎您 按讚
Facebook 粉絲團以及
Google+ 專頁
如果這篇文章有幫到您也麻煩您按個讚
並分享出去,謝謝您!

有 45 則迴響於 幫WordPress後台築城牆

  1. 夏維 說:

    您好,看了這篇文章到這句時我有疑問,不知是我對後台的目錄不熟還是真的有筆誤?

    >>把你的『wp-content/plugins』跟『wp-content/plugins』兩個目錄藏起來,這是沒有藏起來之前你輸入plugins目錄就可以看到你有哪些外掛,雖然不見得這些都是有啟用的,但總是被人看光光有些不爽!

    兩個特別引號中的目錄路徑是同一個,那麼何來兩個目錄之說呢?
    還請您釋疑,謝謝。

  2. iTouchTW 說:

    看來站太出名也會被盯上喔。

  3. Ted 說:

    感謝老爺分享

    雖然我的小站可能不會被攻擊,但是還是裝一下好了 XD

    ( 外掛名稱那邊好像有點手誤喔^^" )

  4. 魯克 說:

    兩個手誤?!
    1. 外掛名稱-分段大標題Limit Loing Attenpts外掛 手誤?!
    應該是 ... Attempts。
    2. ...把你的wp-content/plugins跟wp-content/plugins兩個目錄藏起來,....到底是哪兩個。

  5. 拆組達人 說:

    Limit Loing Attenpts外掛
    ^^^^^^
    高登就好人作底再加一些料:
    ^^^
    把你的wp-content/plugins跟wp-content/plugins兩個目錄藏起來
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
    大哥沒睡飽喔?錯字很多說
    最後,您說把「兩個」目錄藏起來,可是您寫的這兩個是同一個的吧?
    --
    機車的帳號名與近似亂數的密碼
    是一個有效防範猜帳密的最簡單方法
    小弟從事MIS工作,帳密皆符合第一句話
    只是站太小,沒人想來攻(大誤)
    簡單幾個原則,設定強軔密碼
    「數字、英文大寫、英文小寫、符號」且密碼長度最少「八碼」以上
    就算用字典來猜,大概也猜到下個月還不一定猜的出來
    資安課程的範例密碼:P@ssw0rd 或 Pa$$w0rd
    好記(英文單字password),大小寫都有,有特殊符號如@或$
    不過一般人千萬不要用這個組密碼,因為「太範例」了!
    所以平常要保護好自己的帳密且多備分,不過,天下沒有破解不了的鎖,
    還是要小心「社交工程」攻擊騙取帳密,每隔一段時間換帳密碼為上!

  6. Sinchen 說:

    在資料夾放index檔真的很簡單又很實用,感謝高登分享。

  7. 拆組達人 說:

    推薦Secure WordPress懶人安全外掛
    大家參考看看!

  8. Arno Ruan 說:

    我也推薦這個外掛...諾之前把它中文化過了,有需要再跟我說。^_^

    Limit Login Attempts 1.3.1
    防止暴力破解登入管理後台。可設定於時限內連續輸入帳號、密碼錯誤幾次自動鎖IP幾小時,並設定鎖幾次後寄發E-mail通知站長。

  9. ArnoRuan 說:

    好人做到底...分享諾自製的中文語系檔。^_^
    Google Sites空間,隨意取用...

    http://sites.google.com/a/joytown.tw/bai-jia-zhi/Home/download/limit-login-attempts-zh_TW.zip

  10. Arno Ruan 說:

    建議index.html內容寫入:[script]history.go(-1);[/script](中跨號請自行改為)
    這可讓使用者回到上一頁...而不是給人看白屁股網頁,當然轉404頁面更好。XD

    回上一頁範例:
    http://blog.joytown.tw/wp-content/plugins

    轉404範例:
    http://blog.joytown.tw/12345

  11. Marty 說:

    雖然我的也是小站一個,
    但為安全起見,還是裝一下好了!
    謝謝高登大的分享!

  12. Elvis 說:

    很實用~非常受用^^

  13. 艾力克 說:

    好的外掛當然要收下服用~
    感謝您的分享!!

  14. Ausir 說:

    今天我也才從別人那邊知道有這個外掛
    沒想到高登大哥馬上就刊出來了~

    其實我沒有刻意要拿高老大的來做例子
    我只是要找一個

    ADMIN 被改掉 但是卻被猜到使用者名稱的做範例

    但是實際上密碼強度夠
    再加上不要被強制狂登入
    才是根本解決之道~~

    其實我自己有寫了小程式也是做這個防登入的功能
    指是因為寫完之後
    本來要寫解決方案 來不急 PO....

    我是用我自己的方式來改的
    與其讓他多次錯誤就說掰掰
    我是直接錯誤三次....
    這個 IP 就別想來了~

    等等把它放出來好了~

  15. playbear 說:

    高大哥,這篇受用很大,但我在找外掛的時候用文章裡的"Limit Loing Attempts"找不到,後來我改找Limit "Login" Attempts就找到了,是不是你今天精神不好,一直手誤?哈哈

  16. 阿正老師 說:

    我覺得要裝外掛還是挺麻煩的,我乾脆直接在wp-admin資料夾中加個.htaccess,只允許自己的IP(封鎖掉其他IP)是最快的方法。
    但是先決條件是,你一定要有固定IP,一般像Hinet ADSL/FTTB都可以去申請一組固定IP,這樣就保險多了~

  17. scorpio 說:

    這外掛真的是很需要安裝
    WP下次改版應該考量增強安全性~~
    或者可以更改登入的wp-admin
    改成其它名稱.

  18. A`Vai Poitsonu 說:

    wp-admin 我也是跟阿正老師一樣用 .htaccess 做 redirect。
    隱藏目錄的方式我則是直接在 Directory Options 裡加入 -Indexes。

  19. 阿福 說:

    這方法還真不錯!!
    我有時間也來增加WP後台強度
    不然哪天被駭自己都不知道 XD

  20. 佶也 說:

    看來是
    分享著
    好撇步
    要防範
    免得被
    入侵喔

  21. 大醜男 說:

    滿好用的外掛程式
    雖然我的網頁沒什麼重要的資料
    不過還是安裝起來較為保險

  22. [...] 前陣子在看過高登老爺和山羊各寫了一篇有關Wordpress後台的防護方式後,後來丫湯 [...]

  23. 聽。風 說:

    我再高登大大您的書上看過一個程式能夠一文多發
    請問那個程式是啥??

  24. [...] 這次之前高登介面過的Limit Login Attempts外掛出問題了,而且高登特別試了一下,20分鐘之後還是進不去,永遠都要等20分鐘! [...]

  25. dino 說:

    要怎麼把空的「index.html」放在wp-content/plugins跟wp-content/themes?

  26. 滷味加盟 說:

    雖然我的網站沒有很有名,不過能防就防一下,那如果不想被搜尋引擎抓走的資料可以把哪些資料鎖起來呢?

  27. Kelly 說:

    剛看到隱藏一段 請問可不可以把網站的PAGE SOURCE有關WORDPRESS的訊息都隱藏起來? 可以的話 應該怎樣設置呢 謝謝

  28. Goagent 說:

    F12亦可以查看

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

首次留言要通過審核之後才會出現在版面上,請大家不要重覆留言。如果留言的內容與本篇文章無關、廣告留言、商業網站連結、假的網址或信箱的那留言可能就會跑到火星去哦!如果怕忘記在哪一篇文章留言,你只要在下面的e-mail通知那裡打勾就可以收到留言回覆的Email,謝謝大家的配合!

Clicky Web Analytics Free PageRank Checker feedburner