WordPress基础教程

wordpress暴力破解规避思路

发布时间:2018-09-21 8:59:24

本文作者:

wordpress作为最受欢迎的博客程序,使用简单插件丰富,深受各层次站长的喜爱,也就此催生了暴力破解wp后台的软件。怎样才能防止后台被爆破呢,这里给几点我的见解,希望对你有所启发。

修改登录页面地址,如果是单用户博客更简单,直接将wp-login.php修改成一个无法猜解的名称,书签保存在浏览器中。当访问wp-login.php时直接返回404代码和空白页面即可。这样当爆破软件向wp-login.php post数据暴力破解是只会得到404代码和空白页面。

具体可参考:wordpress登录页面保护插件

IP地址黑名单

使用check_password过滤器,如果同IP连续错误达到指定次数,将该IP放入blacklist数据表。然后在login_init时在blacklist表中检索来源ip地址,如果存在则直接返回404或跳转页面。
代码?在明天的日志里,今天只说思路。

使用CDN或服务器的IP地址黑名单。已知经常发起攻击的IP地址或地址段,将其加入到CDN或服务器的IP防火墙,将攻击者IP直接阻挡在门外。

如何获取暴力攻击后台的IP地址和攻击次数?

还是使用check_password过滤器,将密码验证结果为false的IP地址放入一个文本文件,导出到excel,数据透视每个IP攻击的次数即可。

代码如下仅供参考:

function get_client_ip(){
    if(isset($_SERVER)){    
        if(isset($_SERVER["HTTP_X_FORWARDED_FOR"])){
            $realip = $_SERVER["HTTP_X_FORWARDED_FOR"];
        }elseif(isset($_SERVER["HTTP_CLIENT_IP"])) {
            $realip = $_SERVER["HTTP_CLIENT_IP"];
        }else{
            $realip = $_SERVER["REMOTE_ADDR"];
        }
    }else{
        //不允许就使用getenv获取  
        if(getenv("HTTP_X_FORWARDED_FOR")){
              $realip = getenv( "HTTP_X_FORWARDED_FOR");
        }elseif(getenv("HTTP_CLIENT_IP")) {
              $realip = getenv("HTTP_CLIENT_IP");
        }else{
              $realip = getenv("REMOTE_ADDR");
        }
    }
    return $realip;
}
add_action('login_init','attacker_ip_log');
function attacker_ip_log(){
    if($_POST['log'] === '' || $_POST['pwd'] === '') return;
        $attacker_ip = get_client_ip();
        $user = get_user_by( 'login', $_POST['log'] );
    if ( $user === false || wp_check_password( $_POST['pwd'], $user->data->user_pass, $user->ID) === false )
        file_put_contents('attack_log.php',$attacker_ip."\t".date("Y-m-d h:i:sa")."\t".$_POST['log']."\t".$_POST['pwd']."\r\n",FILE_APPEND);    
}

转载:wordpress暴力破解规避思路 | 我系张先森

本站所提供的文章资讯、软件资源、素材源码等内容均为作者提供、网友推荐、互联网整理而来(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考,如有侵犯您的版权,请联系我们,本站将在三个工作日内改正。

小兽wordpress凭借多年的wordpress企业主题制作经验,坚持以“为用户而生的wordpress主题”为宗旨,累计为10万多家客户提供品质wordpress建站服务,得到了客户的一致好评。我们一直用心对待每一个客户,我们坚信:“善待客户,将会成为终身客户”。小兽wordpress能坚持多年,是因为我们一直诚信。我们明码标价(wordpress做网站需要多少钱),从不忽悠任何客户,我们的报价宗旨:“拒绝暴利,只保留合理的利润”。如果您有网站建设、网站改版、网站维护等方面的需求,请立即咨询右侧在线客服或拨打咨询热线:18907337671,我们会详细为你一一解答你心中的疑难。

相关文章

为什么选择小兽WordPress

哪怕不计成本的时间投入,也绝不辜负任何一个客户。
成就客户成就自我的同时,把这个世界变得再美好一点。

我们的故事

小兽WordPress是2011年开始接触互联网,在这期间用WordPress搭建了一个博客叫小兽WordPress,专门学习WordPress建站。

我们的使命

我们希望用WordPress这款优秀的建站程序帮助每个人搭建一个属于自己的网站,高效率低成本做好互联网营销。

我们的文化

我们专注于把客户的事情最好并且做对,这意味着我们在做决定时会考虑到结果,最重要的是,我们力求真实。

我们的未来

我们将在不久的未来成为国内最好的WordPress工作室,小兽WordPress希望和每一个客户成为朋友,一起见证这个美好未来。

为什么选择小兽WordPress

告诉我你是谁,为你量身定做建站方案

我们深知不同的人做网站的阶段不一样,有的是新手,有的是老手。
我们清楚不同的人做网站的目的不一样,有的是展示,有的是营销。

选择如何让自己的业务更上一层楼

还没有WordPress网站

还没有WordPress网站

不管你从事什么行业,WordPress都会为你提供一个专业的主题模板。在WordPress市场上有成千上万的免费主题,适合很多中小企业。

查看所有模板
已经有WordPress网站

已经有WordPress网站

小兽WordPress诚邀你一起学习WordPress,愿与各方携手升级改善您的WordPress网站,一起交流网站加速,网站优化等问题。

马上交个朋友
微信联系
chat 扫码联系
模板建站
挑选模板
网站定制
免费诊断
咨询热线
咨询热线

18907337671

返回顶部