WP用户重要提示:防止您的密码被暴力破解

| | 标签: | 发表评论

近期我们发现针对wp-login.php的暴力破解有所增多,对所有WordPress用户建议:

1 请绝对不要使用弱口令,在过去我们已经不止一次遇到用户由于使用过于简单的密码而被破解。
2 修改wordpress后台登陆地址链接:
wordpress博客默认的登陆链接地址为(http://example.com/wp-login.php),因此

(1)可以修改wp-login.php文件名为wp-denglu.php(或者其他名字),并且将wp-login.php文件中出现的“wp-login.php”全部改为wp-denglu.php;
(2)查找根目录下的wp-includes/general-template.php文件,将源码中的wp-login.php替换为修改后的wp-denglu.php,注意代码第235行
$login_url = site_url('wp-login.php', 'login');
不要修改,完成修改后覆盖原文件保存,这样就可以避免黑客知道你的登陆地址!
为了方便您使用,我们提供修改过的文件供下载:http://static.yculer.com/wp-denglu.zip

如果您有任何需要,欢迎您提交工单与我们联系。

Update:
对于不便于修改登录链接地址或者修改后有问题的用户,也可以安装安全插件 Limit Login Attempts

limit-login

安装并启用该插件,您不需要做其他特别设置。当连续登录失败,插件会临时屏蔽 IP。
为了应对您可能没有采取必要的安全措施,我们也在服务器上启用了 WAF 防火墙,对于连续登录失败的 IP 返回临时 406 错误,如果出现误伤的情况,请您及时与我们联系。

分类:未分类

发表评论