12个经典的WordPress安全技巧_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
12个经典的WordPress安全技巧
w​o​r​d​p​r​e​s​s
阅读已结束，如果下载本文需要使用
想免费下载本文？
你可能喜欢本网站帐号登录
&&自动登陆
使用合作网站帐号登录
请填写注册信息
&已有帐号？立即
使用合作网站帐号登录
请输入您的注册邮箱，我们将重置密码的邮件发送给您
如何保护你的wordpress防止被暴力破解？
WordPress迷
评分 0, 满分 5 星0 票
一直以来是各位wordpress站长所关心的问题，wordpress本身已经有强大的安全防护措施，但是无聊人士之多，今天就跟大家谈谈如何保护你的wordpress网站。什么是暴力破解？不是每一个或者Web开发人员都不错。总有一些邪恶的人。 暴力破解是当一个人或一些机器上尝试通过反复发送的登录尝试破解您的用户名密码组合。 他们会使用一些常见的和随机的用户名和密码组合进行连续登录尝试到你的WordPress。如何保护你的wordpress防止被暴力破解？当然这是我们今天讨论的主题，暴力破解是邪恶的，但是你可以很容易地通过采取下面这些简单的预防措施保护您的WordPress的强力攻击：强大的用户名：您还是使用的是admin为你的WordPress的用户名？
这是默认的用户名也很容易被黑客猜出此用户名。 请务必使用您的姓名或不同的东西作为你的WordPress的管理员用户名。强密码：就像强大的用户名，你需要一个强大的密码！ 暴力破解者试图猜测一些随机密码组合，字典中的单词，并使用所有常用的密码破解您的密码。 使用password作为您的密码是不是一个明智的举动，因为暴力破解将马上破解这个密码。 强大的wordpress密码应该使用随机字母，数字和特殊字符。 不要使用类似123456或QWERTY字符串。您也可以通过访问howsecureismypassword.net 来检查您的密码强度。限制登录尝试：您也应该在你的WordPress网站限制登录尝试。 限制登录尝试的插件(Limit Login Attempts)会阻止管理员指定的限制登陆次数后的操作。 它不会让暴力破解尝试破解你的密码。通过IP限制进入wp-admin和wp-login：如果你是一个人在管理你的WordPress，那么只需要你自己能进入wordpress后台即可，你可以设定一个固定的IP地址段，通过.htaccess文件来限制进入wp-login和wp-admin。 你可以这样写：&Files wp-login.php&Order deny,allowDeny from allAllow from xx.xx.xx.0/24#Another IPAllow from xx.xx.xx.xx&/Files&替换xx.xx.xx.xx 成你的IP地址. 要知道你的IP地址你可以在百度中输入IP即可查询，也可以访问ip138。WordPress插件：其实这方面的插件很多，今天主要是介绍这款插件Wordfence Security，后台搜索即可安装，此款插件可以保护你的wordpress的安全，防止被暴力破解等攻击。所有这些步骤一定会保护你的WordPress网站从所有这些无用和邪恶的暴力破解攻击，你认为这些方法怎么样？资料：/2014/02/save-wordpress-brute-force-attacks/
本站所有主题/文章除标明原创外，均来自网络转载，版权归原作者所有，如果有侵犯到您的权益，请联系本站删除，谢谢合作！ WP界权威成员：大叔 | 奶嘴 | 苏醒 | 维维 | SUM菌 | PC酷 | 大米核心技术
& WordPress迷 丨中国第一平台（蜀ICP备号-2）|& 怎样把英文版的wordpress变成中文界面？
怎样把英文版的wordpress变成中文界面？
怎样把英文版的wordpress变成中文界面？ 在上安装wordpress程序非常简单，你可以，也可以 ，这两种方法都非常简单、容易，不需要你再去了——当然，你也可以选择自己手动安装wordpress程序，毕竟，可以有更多的自主性！ 但现在问题出现了：通过Hostgator 的 Cpanel 后台安装的是英文版的wordpress，怎样才能把它变成中文页面呢？ 英文wordpress变成中文界面 方法一 其实要把这个英文界面的wordpress 变成中文界面真的非常简单——我们需要做的只有两点：
添加语言文件，把它放到wordpress程序所在目录的“wp-content”目录下即可（把语言文件放在language目录内）； 把配置文件wp-config.php 中的
define (‘WPLANG’, ”);
改成 define (‘WPLANG’, ‘zh_CN’); 即可。
如果你没有汉语的语言文件，可以到下载wordpress的最新中文版本，找到wp-content文件夹中的”language”文件夹，上传到服务器上即可。 注意：切不可把 wp-config.php文件上传到服务器上覆盖原文件，因为服务器上的文件包含了数据库的配置方面的内容。一旦被破坏，你将无法登入你的wordpress。 英文wordpress变成中文界面 方法二 此外，还有一个更简单的方法，不用再上传什么语言文件了。方法是：
编辑wp-config.php文件（一定不要在记事本里修改，你可以下载下来在editplus或dreamweaver等程序里修改——因为记事本会改变文件内容中的文字编码。虽然我们看起来还是一样，但程序读取的时候就会不认识它了。 进入wordpress后台，点击左边最上方的 “Dashboard”，展开后再点击”Updates”
这时，你会看到右边出现下面的这个样子
点击Update Automatically，升级完成后就变成中文页面了。
是不是很清爽了？还是祖国文字看起来亲切呀！
最新HostGator优惠码： 购买任意型号主机优惠25%：china25off 购买任意型号主机优惠75折：china75off 购买任意型号主机立减9.95美元：host2cn994
HostGator官方网站： [HostGator长期25%优惠码（china25off）] -
本文的评论功能被关闭了.
购买Hostgator主机需要后才能使用，但目前激活账号的难度比较大。所以我们建议您购买以下两款质量同样过硬的美国主机： Arvixe：
可以使用优惠码购买，可以优惠20%，最关键是质量好而且比较容易购买，提供Linux主机和Windows主机，但我们建议如非必要，最好还是购买Linux主机，因为性能更棒。 InmotionHosting：
堪称速度最快的美国主机，所有服务器全部采用SSD硬盘（固态硬盘），不过仅支持信用卡付款，对没有信用卡的朋友来说有点遗憾。不过也正因为如此，他们的服务器上很少国内垃圾站，所以速度、稳定性都还是非常不错的！ 购买过程中有任何问题请联系我们。QQ：
Hostgator优惠码
IX主机月仅1.95美元WordPress 怎么防止刷流量？一个讨论防御CC攻击的话题……_Nuclear'Atk 网络安全研究中心
WordPress 怎么防止刷流量？一个讨论防御CC攻击的话题……
在乌云看到一个帖子：，内容如下：
主题：WordPress怎么防止刷流量？
作者：小一 (http://tianyi.me)
时间： 19:18
WordPress快被刷爆了，小流量主机伤不起啊，再刷要关门了。所以请教一下怎么WordPress怎么防止刷流量？
/tech/11222.html 看这篇文章说可以通过这些代码来封IP，不过真心不知道代码该加在哪里啊。
而且这代码在网上流传已广，都不知道靠谱不。所以请教一下各位大神，谢谢了。
然后激发了大家一系列讨论，以下为摘录部分讨论内容：
小一 (http://tianyi.me) |
十万火急啊，大神快快现身啊 @xsser @核攻击
_Evil (性趣是最好的老师.) |
@小一 主机是win可以用第三方软件CC终结者和各种 @核攻击 核老大博客也有很多资料,因为他经常被CC @_@
http://user.//blog/
小一 (http://tianyi.me) |
@_Evil 核总的是ASP模块的。。。他没工夫改成PHP模块的，悲剧啊。。。http://lcx.cc/?i=2094
如果是虚拟主机
CC的话 可以 去数字的网站宝看看
小一 (http://tianyi.me) |
@wormcy 没备案，我想死的心都有了。。。
_Evil (性趣是最好的老师.) |
@小一 http://user.//blog/
小一 (http://tianyi.me) |
@_Evil 这个没搞定。。和我第一楼发的是一样的。
_Evil (性趣是最好的老师.) |
@小一 CC终结者
蟋蟀哥哥 (&-帅得一塌糊涂) |
上cdn吧，亲
@蟋蟀哥哥 +1
小一 (http://tianyi.me) |
@蟋蟀哥哥 @_Evil 加了个脚本防刷新，也不知道有木有用 http://www.90blog.org/archives/869.html
@_Evil 核老大的博客是多少啊？
imlonghao () |
@lxsec http://lcx.cc
其实CC攻击与防御一直是一个热论话题，CC攻击本事是一个很经典的攻击方式，从十几年前它诞生开始，一直到现在，仍然魅力无限，广为流传……
关于它的防御方式，其实早已在若干年前就被讨论烂了，但仍然每隔几年就会再次被拉出来热论一番，这是由于CC攻击成本低廉、攻击效果显著，并且经久不衰……
关于CC的攻击方法与原理，这里就不废话了，还不知道的同学可以自行去谷歌一下，资料真的是成吨算……
我这里就简单的介绍一下CC的防御方法：
首先，在该贴中楼主提到过使用脚本进行防御，那么它的可行性如何？防御程度又如何？
如果单纯的依靠脚本进行判断的话（建立内存全局数组或依靠Session，判断每个IP的访问频率，例如我曾经写的轻量级防御脚本：），只能防止一些轻量级CC攻击、恶意刷新、恶意点击，大量占连接型CC攻击是不能防御的，因为当 IIS 或其他提供 Web 的程序的连接数占满后（例如 IIS 会显示服务不可用：Service Unavailable），脚本压根不执行了，鸡肋的地方就体现出来了。
但是，这里有个简单的窍门，可以使用全局脚本收集使用代理访问的IP（CC攻击的特点之一，Http头：HTTP_X_FORWARDED_FOR）然后写入到一个指定文本文件中（很简单的功能，各种脚本都可以做到，比较客户端IP和HTTP头的值是否一致，几行代码即可），然后调用程序“”进行批量封禁（具体用法里边有写），你可以写一个批处理定时循环调用iis.exe（上边提到的工具），就可以实现定式循环屏蔽了（过几天后可以考虑解封），很绝的防御方式（现在很多IIS防火墙的CC防御功能中就采用的这种方案），直接一刀切！24小时全自动免疫一切CC攻击……
其实在2006年，邪八的大牛“Fr. Qaker [E.S.T]”就曾写过一款专门防御CC攻击的工具，叫做：Anti Attack FireWall (AAFW)，效果强大，曾经火爆一时，并且它是开源的！
他的防御方案大家可以参考一下，手法相当精彩，例如他当年提到的：采用ASP的随机生成Session、而且session值绑定在访问者的IP记录下的方法，具体内容可以参考：
这里摘录一段该工具简介（抗CC防火墙：AntiAttackFireWall(AAFW)）：
[原创]抗CC防火墙AntiAttackFireWall(AAFW)开源公告及源代码下载
文章作者：Fr. Qaker [E.S.T]
信息来源：邪恶八进制信息安全团队()
备注：AXLFilter研究中
本软件开源目的
防御CC类型攻击，共享ISAPI编程思路，追求共享精神。
AAFW在2005年12月底就已经完成，现在需要的就是一些功能的补充和界面的优化，所以还是具有一定学习意义的。
原来发布过CC的源代码，但是发生了一些很不开心的事。这次要发布代码，很多朋友因此建议我不要开源。但是，代码放在手里，放着也是浪费，也不符合自己的共享精神。当初，我自己成长的时候也是读别人的代码提高自身的过程，乘凉不忘栽树人。虽然有不少小人，就让他去吧，真理永远变不了，小人得逞只是一时，大家技术的共同提高，共享精神的保持才是最重要的。
AntiAttackFireWall(AAFW)介绍
AA防火墙是一款IIS ISAPI防火墙，利用ISAPI FILTER进行系统保护，利用ISAPI EXTENTION进行管理。
目前代码已经实现了，有效防止盗链，有效防止CC攻击，有效控制文件下载，有效IP连接限制等功能，而且很多功能都考虑到了扩充问题，所以很容易的修改代码进行功能添加。
特别提下，里面的Base64的编码功能是我从网络上复制的一段代码改编来的。
IP管理用的是二叉树进行内存查找，正常情况下，十万次IP记录（十万数量级）的查找能在0.01秒内完成，建议修改的时候将数据进行hash算法。
原创SQL注入保护代码混合在Decode里面，过滤了()&&';=& 因为&&=是判断符号，没有这三个符号，基本无法进行条件语句的构造，用()限制了decalre这样的使用和sql语句的套用，用';杜绝了SQL语句的分隔，应该说，这样的过滤是相对比较安全，而且有效的。
程序本身有访问者按IP管理，所以很方便进行下载限制。
盗链问题，用的是IP判断，看访问者是否访问过本站，用以判断，而不是refer判断，建议加上refer判断增加精确性，接下来会专门研究这个问题。
防止CC攻击用的就是原来我给出的asp防御的思路，采用IIS ASP的随机生成Session的方法，而且session值绑定在访问者的IP记录下。
控制文件下载，也是基于IP的，建议参考后台管理的登录代码，运用Base64的解码，可以很方便的开发会员区这样专业级别的登录控制，甚至可以考虑使用数据库存储用户，比ASP的管理有效的多，而且安全。
相关资料：
本文“”，来自：，本文地址：，转载请注明作者及出处！您所在的位置： &
如何为WordPress做安全防护?(1)
如何为WordPress做安全防护?(1)
wordpress是国人搭建个人博客的首选，其地位等同于论坛搭建首选discuz。wordpress以丰富的插件(插件漏洞)闻名，因此攻击者一般会对wordpress来个指纹识别(除去找暴力破解/社工后台登陆口的快捷方法)。
最近看了infosec 出品的《》，决定给裸奔的wordpress做做安全加固。
wordpress是国人搭建个人博客的首选，其地位等同于论坛搭建首选discuz(话说，discuz才报出全局变量绕过导致的命令执行大洞，唉，开源的APP都是不产蜜而产getshell的蜂巢)
wordpress以丰富的插件(插件漏洞)闻名，因此攻击者一般会对wordpress来个指纹识别(除去找暴力破解/社工后台登陆口的快捷方法)。
一、wpscan & Wordpress指纹识别及漏洞检查工具
该网站被丧心病狂的GFW封掉了，翻墙吧psiphon搔年，或者使用渗透套装kali(重点不是wpscan，了解攻击才能给出相应防御措施)
以ubuntu安装为例
apt-get install libcurl4-gnutls-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential
gem install bundler && bundle install --without test
b.基本使用
枚举站点信息：用户名、插件、样式等信息
ruby wpscan.rb --url
--enumerate
以下是探测结果样本
[+] URL: [+] Started: Tue Oct 28 15:46:30 2014[!] The WordPress '/readme.html' file exists[+] XML-RPC Interface available under: [!] Upload directory has directory listing enabled: [+] WordPress version 4.0 identified from meta generator[+] WordPress theme in use: twentyfourteen - v1.2[+] Name: twentyfourteen - v1.2&|& Location: &|& Style URL: &|& Referenced style.css: &|& Theme Name: Twenty Fourteen&|& Theme URI: &|& Description: In 2014, our default theme lets you create a responsive magazine website with a sleek, modern des...&|& Author: the WordPress team&|& Author URI: [+] Enumerating installed plugins (only vulnerable ones) ...Time: 00:00:37 &==============================================& (880 / 880) 100.00% Time: 00:00:37[+] No plugins found[+] Enumerating installed themes (only vulnerable ones) ...Time: 00:00:16 &==============================================& (308 / 308) 100.00% Time: 00:00:16[+] No themes found[+] Enumerating timthumb files ...Time: 00:01:48 &============================================& (2539 / % Time: 00:01:48[+] No timthumb files found[+] Enumerating usernames ...[+] Identified the following 1 user/s:&&& +----+---------+---------+&&& | Id | Login&& | Name&&& |&&& +----+---------+---------+&&& | 1& | tanjiti | tanjiti |&&& +----+---------+---------+[+] Finished: Tue Oct 28 15:49:34 2014
察看详细的探测信息
ruby wpscan.rb --url
--debug-output --random-agent &debug.log
(注意：wpscan 默认User-Agent为WPScan v2.5.1 (http://wpscan.org)，扫描器使用常识之一使用正常变化的ua，避免触发WAF之类的防御部署)
基本察看LOG，我们就可以知道wpscan是如何收集信息
例如检查响应头X-Pingback: /xmlrpc.php 头 (xmlrpc漏洞)
检查xmlrpc.php (xmlrpc漏洞)
检查robots.txt文件 (敏感信息泄露)
检查readme.html文件(敏感信息泄露)
检查/wp-content/debug.log(敏感信息泄露)
检查配置文件(能够明文读取配置文件基本就是挂掉了)，wp-config.php.swo，%23wp-config.php%23，wp-config.orig，wp-config.php_bak，wp-config.original，wp-config.php.orig，wp-config.php.old，.wp-config.php.swp，wp-config.php.save，wp-config.bak，wp-config.txt，wp-config.php~ ，wp-config.save ，wp-config.old，wp-config.php.swp (敏感信息泄露)
识别指纹后，一般会去漏洞信息库中查找可以利用的漏洞，例如MSF
内容导航&第 1 页： &第 2 页： &第 3 页： &第 4 页：
关于&&的更多文章
12月25日，当人们还沉浸在圣诞的喜悦中无法自拔的时候，乌云漏洞
信锐技术专注访客、企业承载、服务增值、公共热点等行业应用的每一个无线需求特点。
讲师： 15792人学习过讲师： 7648人学习过讲师： 3584人学习过
随着数据的不断云化，信息安全也变得越来越严峻，但安
趋势科技特邀国内外云计算实践者、业内领导者，亲临现
工作任务日益复杂，赛门铁克将竭力为你保驾护航，确保
本书将介绍如何创建可交互的Web站点，包括从最简单的订单表单到复杂的安全电子商务站点。而且，读者还将了解如何使用开放源代码
51CTO旗下网站}