Wordpress再次遭遇暴力破解

近期,部分网站又爆出了建站系统漏洞被利用,导致网站被入侵等情况。首先是dedecms织梦系统程序被利用,导致使用phpddos对外发包,影响服务器正常运行,其次是wordpress程序的wp-login.php文件遭到严重暴力破解,导致网站重复流量激增甚至奔溃,造成许多站长的损失。

一、织梦程序DEDECMS

dedecms系统向来因程序漏洞众多饱受诟病,大多数的站长都不太喜欢用DEDECMS,一旦漏洞被利用,入侵者就会进行PHPDDOS对外发包,不过貌似织梦的开发者并不是很担心这个问题,频繁出漏洞,他们就不断发补丁,还好,我们得到了一些解决的方法:

1.删除后门文件,通过与网站主机商的沟通可以完成后门文件查找操作。
2.进入dedecms官网下载所有补丁程序并升级到最新版本。
3.进入dede后台——安全中心,参看设置帮助,为dede做好目录权限的安全设置。

虽然这样操作后,漏洞问题可以缓解,不过也不是长久之计,建议改用phpcms,碎碎念个人觉得这个系统还是很不错的。

二、博客系统WORDPRESS

wordpress博客系统是世界上使用最广泛的博客系统,由于使用者众多,难免成了黑客眼中的“试验品”或者“靶子”,有一部分站长的后台管理密码强度不够,黑客就通过大量的密码登陆post攻击wp-login.php页面,持续的攻击将导致数据库被频繁地大量查询,导致服务器速度缓慢,一旦被算出密码,wordpress也就被成功入侵了,后果可想而知。

对此,主机商们也是绞尽脑汁,想了许多解决方案。碎碎念的主机商比较直接,在登录页面的外层加了一层验证码保护,坚固的堡垒,直接杜绝了对wp-login.php页面的频繁骚扰;

之前写过一篇文章详细介绍过:《独立博客的前景(纯属扯淡)》,这里就不细说了,想了解的童鞋可以戳链接详看。某某人的主机商则采取将wp-login.php移动到login.php,生成虚假的wp-login.php文件,保障数据安全和服务器的稳定。

解决方案

暂时有如下:

1.登录wordpress后台插件管理,安装插件Better WP Security(PS:建议直接在WP后台搜索插件,不要轻易安装网上流传的插件,即使它名字一样,但谁也不能保证这个插件就是官方版,没有修改过,假如被恶意修改了代码,就得不偿失了。)

2.进入Better WP Security插件设置,保护后台,一键设置即可,假如设置遇到问题,可以通过插件联系作者。详细设置方法见本文附录(免费资源部落《多重CDN和Better WP Security强化安全》)。

其实,解决方案不止这一个,之前在斌果博客有看过他写的一篇关于修改博客登陆地址的文章,解决得也很好,点击附录(斌果博客《更改WP默认登陆地址》)查看设置方法。

另外,碎碎念还要提醒一下,安装完wordpress后,要及时删除掉网站主机wordpress安装目录下的wp-admin/install.php文件,如果被心怀不轨的人利用了,那就坑爹了,怎么被利用这里就不说了,免得有人模仿,反正留着也是多余的了,删了安全。另外,不怕一万,就怕万一,定时备份数据库才是王道!

拓展阅读——附wordpress安全设置方案:

月光博客《十大WordPress安全设置技巧》

免费资源部落《WordPress加速防护技巧:多重CDN和Better WP Security强化安全》

碎碎念ZWS《独立博客的前景(纯属扯淡)》

斌果博客《更改WP默认登陆地址》

【2013.10.11更正说明】
根据诸葛小觉爆尿:
Better WP Security这玩意会生成一个数据表,这不是问题,问题是其很大很大,大到有可能影响到网站后台运行的速度,建议关闭该插件中的日志记录功能,或者定时清理日志记录,特别是遭遇暴力破解的时候会产生非常多的日志。

选择安装插件的同时,请大家也关注下这个问题。

hongbao.png
NOOLDEY

本文作者:NOOLDEY

做一个诗情画意的码农,皮皮猪,我们走!

原文链接: http://zhuweisheng.com.cn/wordpress/wordpress-security/

本站文章如无特殊声明均为原创,创作不易,转载请注明来源,谢谢!