幫WordPress後台築城牆

這一篇你可以看成是:: corAusir :: 程式逗設計的這一篇:甘道夫,我的 WordPress 被攻破了 [ WP 駭客記 ]的延伸閱覽,因為那一篇文章只提出了問題的所在但是並沒有告訴大家解決的方法,所以高登就發這一篇文來補充說明一下。

或許是原作者Ausir事後覺得拿我當例子有些不妥,所以曾透過朋友來致意,但是我告訴他不在意,為什麼呢?因為使用者名稱本來就是一直攤在陽光下的,你用奇摩、Gmail或是Hotmail別人知道你的信箱自然也就知道你的使用者名稱了,所以知道使用者名稱沒什麼大不了的,但是你的密碼強度就很重要了,這是稍有資訊安全概念的人都知道的,但是一般人就是「懶」!所以常常會用萬用密碼(每一個地方用的密碼都一樣),這樣子密碼如果外洩了嚴重性就可想而知了!

就Ausir所提出的問題一樣其實高登早就看過也知道這種的危機,但是一樣「懶」!所以也沒有採取進一步的動作,現在既然被抓包了就趕緊來補救一下:

Limit Login Attempts外掛

看到外掛名稱你應該就猜到要作什麼用的:「限制登入錯誤的次數」,用這一個簡單的外掛就可以防止別人來猜你的密碼,甚至在別人猜你的密碼時你就會知道了。

外掛網址:http://wordpress.org/extend/plugins/limit-login-attempts,如果可以由後台安裝就直接打外掛名稱搜尋安裝就好了,不行的話就照原來的方式上傳啟用。

外掛設定

這個外掛設定的項目不是很多,請由〔設定〕找到〔Limit Login Attempts〕的設定頁面:

最上面的「Statistics」是告訴你阻擋了幾次的入侵

接下來的「Options」則是你可以設定的項目,我就圖中的內定值來解釋它的含義:

  • Lockout:允許4次重試,錯誤的話鎖定20分鐘,頒定4次之後延長為24小時,24小時後解除鎖定。
  • Site Connection:直接連線或是透過代理伺服器Proxy連線。
  • Handle Cookie Login:是否處理Cookie
  • Notify on lockout:發生鎖定時的通知1. 記錄IP(在這一個後台介面)2. 有4次鎖定發Email通知。
Limit Login Attempts外掛

外掛啟用之後如果登入錯誤就會記錄次數,像這樣子:

Limit Login Attempts外掛

真的太超過就把你Ban掉!

還有喔

高登就好人作底再加一些料:

變更管理者名稱請服用之前介紹過的:用WP-optimize優化WordPress。還有一點也很重要:

把你的wp-content/plugins跟wp-content/themes兩個目錄藏起來,這是沒有藏起來之前你輸入plugins目錄就可以看到你有哪些外掛,雖然不見得這些都是有啟用的,但總是被人看光光有些不爽!

Limit Login Attempts外掛

解決的方法很簡單:放一個空的「index.html」在這兩個目錄就可以了,還有如果你的圖床不想讓人瀏覽的話也如法炮製。

45 則留言

  1. 您好,看了這篇文章到這句時我有疑問,不知是我對後台的目錄不熟還是真的有筆誤?

    >>把你的『wp-content/plugins』跟『wp-content/plugins』兩個目錄藏起來,這是沒有藏起來之前你輸入plugins目錄就可以看到你有哪些外掛,雖然不見得這些都是有啟用的,但總是被人看光光有些不爽!

    兩個特別引號中的目錄路徑是同一個,那麼何來兩個目錄之說呢?
    還請您釋疑,謝謝。

  2. 兩個手誤?!
    1. 外掛名稱-分段大標題Limit Loing Attenpts外掛 手誤?!
    應該是 ... Attempts。
    2. ...把你的wp-content/plugins跟wp-content/plugins兩個目錄藏起來,....到底是哪兩個。

  3. Limit Loing Attenpts外掛
    ^^^^^^
    高登就好人作底再加一些料:
    ^^^
    把你的wp-content/plugins跟wp-content/plugins兩個目錄藏起來
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
    大哥沒睡飽喔?錯字很多說
    最後,您說把「兩個」目錄藏起來,可是您寫的這兩個是同一個的吧?
    --
    機車的帳號名與近似亂數的密碼
    是一個有效防範猜帳密的最簡單方法
    小弟從事MIS工作,帳密皆符合第一句話
    只是站太小,沒人想來攻(大誤)
    簡單幾個原則,設定強軔密碼
    「數字、英文大寫、英文小寫、符號」且密碼長度最少「八碼」以上
    就算用字典來猜,大概也猜到下個月還不一定猜的出來
    資安課程的範例密碼:P@ssw0rd 或 Pa$$w0rd
    好記(英文單字password),大小寫都有,有特殊符號如@或$
    不過一般人千萬不要用這個組密碼,因為「太範例」了!
    所以平常要保護好自己的帳密且多備分,不過,天下沒有破解不了的鎖,
    還是要小心「社交工程」攻擊騙取帳密,每隔一段時間換帳密碼為上!

  4. 我也推薦這個外掛...諾之前把它中文化過了,有需要再跟我說。^_^

    Limit Login Attempts 1.3.1
    防止暴力破解登入管理後台。可設定於時限內連續輸入帳號、密碼錯誤幾次自動鎖IP幾小時,並設定鎖幾次後寄發E-mail通知站長。

  5. 今天我也才從別人那邊知道有這個外掛
    沒想到高登大哥馬上就刊出來了~

    其實我沒有刻意要拿高老大的來做例子
    我只是要找一個

    ADMIN 被改掉 但是卻被猜到使用者名稱的做範例

    但是實際上密碼強度夠
    再加上不要被強制狂登入
    才是根本解決之道~~

    其實我自己有寫了小程式也是做這個防登入的功能
    指是因為寫完之後
    本來要寫解決方案 來不急 PO....

    我是用我自己的方式來改的
    與其讓他多次錯誤就說掰掰
    我是直接錯誤三次....
    這個 IP 就別想來了~

    等等把它放出來好了~

  6. 高大哥,這篇受用很大,但我在找外掛的時候用文章裡的"Limit Loing Attempts"找不到,後來我改找Limit "Login" Attempts就找到了,是不是你今天精神不好,一直手誤?哈哈

  7. 我覺得要裝外掛還是挺麻煩的,我乾脆直接在wp-admin資料夾中加個.htaccess,只允許自己的IP(封鎖掉其他IP)是最快的方法。
    但是先決條件是,你一定要有固定IP,一般像Hinet ADSL/FTTB都可以去申請一組固定IP,這樣就保險多了~

  8. wp-admin 我也是跟阿正老師一樣用 .htaccess 做 redirect。
    隱藏目錄的方式我則是直接在 Directory Options 裡加入 -Indexes。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料