使用.htaccess保护WordPress管理面板免受黑客攻击

最新推荐文章于 2024-07-12 11:34:40 发布
最新推荐文章于 2024-07-12 11:34:40 发布
阅读量159 收藏
点赞数
文章标签: linux java python 数据库 mysql
原文链接:https://www.howtogeek.com/howto/the-geek-blog/protecting-your-wordpress-admin-panel-from-hackers-with-htaccess/
版权

If you are using WordPress as the platform behind your blog or website you probably know that there have been a lot of security holes, not just in the software itself, but also in the plugins as well. In light of these problems, we’ll look at how to prevent hacking attempts by locking down your administration folder.

如果您使用WordPress作为博客或网站背后的平台,则您可能知道存在很多安全漏洞,不仅在软件本身,而且在插件方面也存在。 针对这些问题,我们将研究如何通过锁定管理文件夹来防止黑客尝试。

The Apache web server has a built-in mechanism that allows you to assign a required password for a folder, which is separate from your WordPress password.

Apache Web服务器具有内置机制,可让您为文件夹分配所需的密码,该密码与WordPress密码分开。

Quick Blog Security Tips

快速博客安全提示

Security is important enough that I felt it necessary to include some extra tips here. This is by no means a complete list, but you should look into them anyway.

安全性非常重要,以至于我认为有必要在此处添加一些额外的提示。 这绝不是完整的列表,但是无论如何您都应该对其进行研究。

  • Make sure you are running the latest version of WordPress and all your plugins.

    确保您正在运行最新版本的WordPress及其所有插件。

  • You should consider subscribing to BlogSecurity.net, a blog that attempts to cover security news about blogging platforms.

    您应该考虑订阅BlogSecurity.net ,该博客试图涵盖有关博客平台的安全性新闻。

  • Make sure that your file permissions are set correctly according to the WordPress guidelines.

    确保根据WordPress准则正确设置了文件权限。

  • Make sure you are using tough passwords for all accounts.

    确保您对所有帐户使用强密码。
  • Make sure that you are backing up your entire WordPress installation and database.

    确保您正在备份整个WordPress安装和数据库。
  • Lock down your administration folder with .htaccess rules (covered here)

    使用.htaccess规则锁定您的管理文件夹(在此处找到)

Assigning a Password to wp-admin Directory Manually

手动为wp-admin目录分配密码

Create a file named .htaccess in your wp-admin directory, and add the following contents:

在wp-admin目录中创建一个名为.htaccess的文件,并添加以下内容:

AuthName “Restricted Area” AuthType Basic AuthUserFile /var/full/web/path/.htpasswd AuthGroupFile /dev/null require valid-user

AuthName“限制区域” AuthType基本AuthUserFile /var/full/web/path/.htpasswd AuthGroupFile / dev / null需要有效用户

You’ll need to adjust the AuthUserFile line to use the full path to the .htpasswd file we’ll create in the next step. You can find the full path by using the pwd command from the shell prompt.

您需要调整AuthUserFile行,以使用下一步将创建的.htpasswd文件的完整路径。 您可以在shell提示符下使用pwd命令找到完整路径。

Next you’ll need to use the htpasswd command line utility to create the password file. I would also advise that you use a different user account and password than you use for your WordPress installation.

接下来,您将需要使用htpasswd命令行实用程序来创建密码文件。 我还建议您使用与WordPress安装不同的用户帐户和密码。

$ htpasswd -c .htpasswd myusernameNew password: Re-type new password: Adding password for user myusername

$ htpasswd -c .htpasswd myusername新密码:重新输入新密码:为用户myusername添加密码

You’ll want to make sure you are in the directory specified by AuthUserFile, and change “myusername” to something unique for your site. This will create a file with contents similar to the following:

您需要确保您位于AuthUserFile指定的目录中,并将“ myusername”更改为站点唯一的名称。 这将创建一个文件,其内容类似于以下内容:

myusername:aJztXHCknKJ3.

myusername:aJztXHCknKJ3。

At this point you should be prompted for a password when you navigate to your WordPress administration panel. You’ll notice that “Restricted Area” is the text from the .htaccess file, which could be changed to anything else.

此时,当您导航到WordPress管理面板时,系统将提示您输入密码。 您会注意到“限制区域”是.htaccess文件中的文本,可以将其更改为其他任何内容。

image

If you get a server error instead, you should probably remove the .htaccess file and start over.

如果出现服务器错误,则可能应删除.htaccess文件并重新开始。

Lastly, you should make sure that you remove write permissions to both files with the chmod command as one more layer of security.

最后,您应该确保使用chmod命令删除对这两个文件的写许可权,这是另一层安全性。

chmod 444 .htaccess

chmod 444 .htaccess

chmod 444 .htpasswd

chmod 444 .htpasswd

.htaccess Password File Generator

.htaccess密码文件生成器

There’s a great tool from Dynamicdrive that will do all the hard work of creating the file for you. This is especially useful if you don’t have shell access to your server, because you can just upload the files via your FTP/SFTP client.

Dynamicdrive有一个很棒的工具,它将为您创建文件进行所有艰苦的工作。 如果您没有外壳访问服务器的权限,这将特别有用,因为您可以通过FTP / SFTP客户端上传文件。

http://tools.dynamicdrive.com/password/

http://tools.dynamicdrive.com/password/

You should still make sure that you remove write access once the files are uploaded.

上传文件后,您仍应确保删除写访问权限。

翻译自: https://www.howtogeek.com/howto/the-geek-blog/protecting-your-wordpress-admin-panel-from-hackers-with-htaccess/

culintai3473
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wordpress 黑客_WordPress网站遭到黑客入侵的11个主要原因(以及如何预防)
09-09 1577
wordpress 黑客Recently, one of our readers asked us why do WordPress sites get hacked? It is frustrating to find out that your WordPress site has been hacked. In this article, we will share the top reas...
apache开启.htaccess.htaccess使用方法
09-11
Apache服务器上的`.htaccess`文件是一种非常强大的工具,它允许你在网站的各个目录层级上进行配置更改,而无需直接编辑服务器的主配置文件`httpd.conf`。...正确理解和使用`.htaccess`可以极大地增强你的网站管理能力。
wordpress攻击思路_如何保护您的WordPress网站免受暴力攻击(逐步)
cumohuo9136的博客
09-15 721
wordpress攻击思路Do you want to protect your WordPress site from brute force attacks? These attacks can slow down your website, make it inaccessible, and even crack your passwords to install malware on yo...
通过限制.htaccess中的访问权限来保护WordPress中的Admin文件
cumohuo9136的博客
09-05 274
As we mentioned while using WordPress 2.8.3, our site was attacked in an attempt to hack into our WP-Admin folder. Thankfully WordPress has found the bug and released a security patch in WordPress 2.8...
9个实用的.htaccess安全设置
章郎虫的专栏
07-07 454
1. 通过.htaccess放盗链 痛恨那些偷盗链接你的web服务器上的图片资源而耗尽了你的带宽的行为吗?试试这个,你可以防止这种事情的发生。 RewriteBase / RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://(www.)?aqee.net/.*$ [NC] RewriteR...
写在 Wordpress 博客被黑之后
xhhjin的专栏
08-01 3761
前段时间,博客接连被黑了几次,这对于我来说还是头一次遭遇。第一次被黑的时候,后台登陆不进去,查看数据库发现账号和密码被改了,以为是密码泄漏了,于是重置主机内容,更换账号密码,用备份数据重新上线;隔了一周,发现又登陆不上了,首页还被篡改了一部分内容,真是无语,简单处理了下又可以访问了;没想到过了几天,又被黑了,真是心累,放了好几天都懒得处理,后果就越来越严重了,主机被上传了新的目录和文件,接着网站链...
plus钱包受黑客攻击_如何保护您的在线业务免受黑客攻击
culu1614的博客
08-11 1306
plus钱包受黑客攻击 您的企业安全吗? (How safe is your business?) The news that’s made every business think twice about its vulnerability to hacking in 2015 is the attack on Ashley Madison. The public release of mill...
修复WordPress重定向黑客 - WordPress网站重定向到另一个网站
qq_48490768的博客
08-02 898
修复WordPress重定向黑客-WordPress网站重定向到另一个网站
wordpress-htaccess:终极 WordPress .htaccess 文件
07-14
WordPress .htaccess 终极 WordPress .htaccess 文件# BEGIN WordPressRewriteEngine OnRewriteBase /RewriteRule ^index\.php$ - [L]# add a trailing slash to /wp-adminRewriteRule ^wp-admin$ wp-admin/ [R=301,...
WordPress.htaccess优化技巧
01-20
目前.htaccess 文件的主要问题是RewriteCond 指令性地检查磁盘文件是否存在,就算根本不需要检查,每一次访问磁盘都增加了页面加载时间。 复制代码代码如下: # WordPress开始 RewriteEngine On RewriteBase / ...
Apache服务器中.htaccess文件的实用配置示例集锦
09-10
限制用户上传文件的大小可以保护服务器免受文件导致的性能问题: ``` <FilesMatch "\.(jpg|jpeg|png|gif|pdf)$"> <IfModule mod_php7.c> php_value upload_max_filesize 5M php_value post_max_size 10M ...
Linux】进程间通信——匿名管道
2201_76024104的博客
07-08 1142
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用
建立共享linux第三方软件仓库
Znj1421304181的博客
07-08 211
【代码】建立共享linux第三方软件仓库。
nginx安装(win和linux
f552126506的博客
07-07 573
nginx安装(win和linux
Linux系列2】Cmake安装记录
kewaqi618的博客
07-08 1032
主要介绍Cmake的安装方法,及自己安装的过程
Linux 安装 Docker Compose
最新发布
m0_63004677的博客
07-12 202
Linux 系统安装 Docker Compose
保姆级教程:Linux (Ubuntu) 部署流光卡片开源 API
梦染 * 星尘 的博客
07-09 832
流光卡片 API 开源地址 Github:https://github.com/ygh3279799773/streamer-card流光卡片 API 开源地址 Gitee:https://gitee.com/y-gh/streamer-card流光卡片在线使用地址:https://fireflycard.shushiai.com/想要使用 api 调用服务,需要有一个服务器来时刻监听请求。服务器终端界面阅读不方便,因此需要使用宝塔面板进行管理
阿里云虚拟主机,wordpress环境如何重建.htaccess文件
06-09
在阿里云虚拟主机中,您可以通过以下步骤来重建.htaccess文件: 1. 登录您的阿里云虚拟主机控制台,进入“站点管理”页面。 2. 找到您的 WordPress 网站,并点击“管理”按钮进入网站管理页面。 3. 在左侧导航栏中选择“文件管理”,进入文件管理页面。 4. 找到网站根目录下的 .htaccess 文件,如果该文件不存在或被误删除,您可以在该目录下新建一个 .htaccess 文件。 5. 通过 FTP 或文件管理器打开 .htaccess 文件,并将以下内容复制到文件中: ``` # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress ``` 6. 保存 .htaccess 文件并关闭。 7. 最后,您需要确保 .htaccess 文件的权限设置正确,一般是设置为 644。 通过以上步骤,您就可以成功重建.htaccess文件了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值