使用.htaccess保護您的wordpress管理面板免受駭客攻擊
如果你使用WordPress作為部落格或網站背後的平臺,你可能知道,不僅在軟體本身,而且在外掛中也存在很多安全漏洞。針對這些問題,我們將研究如何透過鎖定管理資料夾來防止駭客攻擊。
apacheweb伺服器有一個內建機制,允許您為資料夾分配所需的密碼,該密碼與WordPress密碼是分開的。
快速部落格安全提示
安全性非常重要,我覺得有必要在這裡提供一些額外的提示。這並不是一個完整的列表,但你還是應該看看。
- 確保您執行的是最新版本的WordPress和所有外掛。
- 你應該考慮訂閱部落格安全.net,一個試圖報道部落格平臺安全新聞的部落格。
- 確保您的檔案許可權是根據WordPress指南正確設定的。
- 確保所有帳戶都使用了嚴格的密碼。
- 確保您正在備份整個WordPress安裝和資料庫。
- 使用.htaccess規則鎖定您的管理資料夾(此處介紹)
手動為wp admin目錄分配密碼
在wp管理目錄中建立名為.htaccess的檔案,並新增以下內容:
AuthName “Restricted Area” AuthType Basic AuthUserFile /var/full/web/path/.htpasswd AuthGroupFile /dev/null require valid-user
您需要調整AuthUserFile行以使用我們將在下一步中建立的.htpasswd檔案的完整路徑。在shell提示符下使用pwd命令可以找到完整路徑。
接下來需要使用htpasswd命令列實用程式來建立密碼檔案。我還建議您使用與WordPress安裝不同的使用者帳戶和密碼。
$ htpasswd -c .htpasswd myusername New password: Re-type new password: Adding password for user myusername
您需要確保您位於AuthUserFile指定的目錄中,並將“myusername”更改為您的站點唯一的名稱。這將建立一個包含以下內容的檔案:
myusername:aJztXHCknKJ3.
此時,當您導航到WordPress管理面板時,應該提示您輸入密碼。您會注意到,“Restricted Area”是.htaccess檔案中的文字,可以更改為其他任何內容。
如果出現伺服器錯誤,則應該刪除.htaccess檔案並重新開始。
最後,您應該確保使用chmod命令刪除對這兩個檔案的寫入許可權,作為另一個安全層。
chmod 444 .htaccess
chmod 444 .htpasswd
.htaccess密碼檔案生成器
Dynamicdrive提供了一個很好的工具,它可以為您建立檔案。如果您沒有對伺服器的shell訪問許可權,這尤其有用,因為您可以透過FTP/SFTP客戶端上傳檔案。
http://tools.dynamicdrive.com/password/
您仍應確保在上載檔案後刪除寫訪問許可權。
- 發表於 2021-04-14 11:35
- 閱讀 ( 30 )
- 分類:網際網路
你可能感興趣的文章
啟動新網站時不要忘記以下10個安全提示
...內容管理系統(CMS),則有可用於該系統的安全外掛。像WordPress、Drupal、Joomla和Magento這樣的大公司都有很多。你所需要做的就是選擇最適合你的情況,然後下載,安裝和啟用。 ...
如何使用安全金鑰保護您的facebook登入,以避免欺詐和駭客攻擊
...是唯一一個支援U2F的網站——其他網站包括Gmail、YouTube、WordPress、GitHub,而且名單還在不斷增加——但你需要使用Chrome或Opera才能讓它工作。 ...
如何為您的網站建立登入保護區
...自己的登入系統程式碼,也可以使用內容管理系統,比如Wordpress。 ...
保護您的wordpress部落格免受此chrome字型攻擊
...的一個低掛果實。此外,對於最流行的部落格平臺,比如WordPress,有很多駭客攻擊方法。我將向你們展示一些最常見的,以及駭客手冊中一個相對較新的劇本。 ...
你是6900萬被駭客攻擊的dropbox使用者之一嗎?
...,有人猜測Dropbox被駭客入侵。當時Dropbox否認除了“帶有使用者電子郵件地址的專案文件”之外的任何東西被拿走。 截至2016年8月,據證實,2012年年中之前在Dropbox上建立的超過6800萬個使用者帳戶顯然已在網上洩露了其相關...
你的sim卡被駭客攻擊的兩種方式(以及如何保護它)
...也可能是安全漏洞的來源。在這裡,我們將向您展示駭客使用SIM卡訪問裝置的一些方法,以及如何保護SIM卡安全的建議。 ...
檢查網際網路連線安全的5種方法
... 當你把資料傳送到一個使用HTTP協議的網站時,它被稱為“明文”傳送,這意味著在你和目標伺服器之間沒有加密資料的東西。人們可以窺探你傳送的內容並記錄任何私人資訊。這使得在公共網...
是的,VPN可以被入侵:這對你的隱私意味著什麼
...一個“禁止登入”策略,該策略宣告它們不會儲存您如何使用其服務的記錄。這些日誌對駭客來說是一個潛在的金礦,拒絕儲存這些日誌意味著即使在資料庫洩露之後,你的隱私也會得到維護。 ...
什麼是hsts,它如何保護https免受駭客攻擊?
... 啟用HSTS相當容易。您只需要在站點上的.htaccess檔案中新增一個頭檔案。需要新增的標題為: ...
如何在站點上設定https:簡單指南
... 儲存後,確保進入WordPress並重新整理所有快取。同時清除瀏覽器快取(按Ctrl+F5)。 ...
