楚狂人昨天楚狂人在文章中说了最近网站频繁受到无效流量的攻击,消耗了大量的云服务器资源,比如我的阿里云服务器最近一度内存占用超过80%,CPU占用超过40%,都远远超过实际用量。其中黑客除了通过xmlrpc.php攻击之外,其实更多的还是想通过wp-login.php破解网站登录密码,迫使我不得不解决这个问题。
那么我们如何防范这种攻击呢?目前网上有以下几种方法,主要原理就是修改网站登录地址,把wp-login.php改为其他名字,从而达到避免攻击的目的,一种方法是手工该代码,另一种方法是使用wordpress插件。
一、修改wp-login.php文件
1、修改WordPress默认登陆文件名wp-login.php:
①、修改在网站根目录下的wp-login.php文件名为wp-denglu.php(或者其他名字),并将该文件wp-denglu.php中出现的字符wp-login.php全部改为wp-denglu.php;
②、修改根目录下的wp-includes/general-template.php文件。
除了下面这段不要动
$login_url = site_url('wp-login.php', 'login');$login_url = site_url('wp-login.php', 'login');
该文件其他的wp-login.php替换为wp-denglu.php,完成修改后覆盖原文件保存,这样就可以避免黑客知道你的登陆地址!
2、修改主题的funtions.php
①如果你觉得上面的仿佛有点繁琐,可以用这个方法,在主题的funtions.php 的最后一个 ?> 前添加以下代码:
//wp-login.php添加相关参数 baidu.com
add_action('login_enqueue_scripts','login_protection');
function login_protection(){
if($_GET['denglu'] != 'yemian')header('Location: http:/baidu.com/');
}
②此时你的wordpress登陆地址应该是 http://域名/wp-login.php?denglu=yemian 。
?denglu=yemian就是参数名,如果没有参数?denglu=yemian,那么就跳转到http://baidu.com/。
你可以修改的地方就是第四行的denglu、yemian以及http://baidu.com/。
二、插件修改wordpress的wp-login.php地址:
如果你不喜欢总是频繁的手工修改代码,也可以通过插件修改wordpress的wp-login.php地址防止黑客攻击。类似功能的wordpress插件挺多的,比如:
1、WPS Hide Login插件:
启用WPS Hide Login后系统会自动跳转到“设置-常规”页面下,你也可以手动进入该页面对插件进行设置,插件的设置十分简单,你只需要在方框中把原来的登录地址改为自己所要设置的字符即可,比如这里插件默认的“login”。设置完成后你便可以通过路径“http://域名/login”访问你的网站后台管理界面了。
2、Rename wp-login.php插件:
和前一个插件设置方法基本一致,自己修改下登录地址的字符并保存即可。
3、Limit Login Attempts插件:
在wordpress系统默认情况下,允许无限次的登录尝试,这样是非常不安全的,那样会让密码被暴力破解。Limit Login Attempts 帮我们解决了这个问题,它可以限制登录尝试的次数来防止暴力破解,增强 WordPress 的安全系数。Limit Login Attempts插件对每个IP地址设置了一个登陆次数,如果超过这个次数,就会在一个特定的时间范围内,比如24小时之内,将这个IP地址放入黑名单。这样也有助于减轻云服务器的压力。
以上三款保护wp-login.php登录地址的插件只是楚狂人所了解到的,除此之外当然也还有其他安全插件可以起到类似的作用,但是我们只要一款就够用了,至于如何选择大家可以根据自己的喜好。这几款插件都可以在wordpress后台-插件—安装插件,然后搜索获取,都是通过了官方审核的,可以保证安全。
