请立即修改你的WordPress密码

分享本文:

从2013年4月以来,在全世界范围内发生了一大批针对WordPress网站的恶意攻击活动。这次攻击,并非是因为发现WordPress博客的新漏洞;而是采取僵尸网络,利用肉鸡去暴力破解WordPress网站的密码。因此,WordPress官方暂时还没有发布针对性地更新;对于你的网站而言,最重要的是要立即修改你的WordPress密码。

所谓僵尸网络(Botnet),就是通过各种手段,在普通用户的电脑中植入恶意程序(木马病毒),将用户的电脑当作肉鸡,这样控制者可以通过许多台计算机直接发送指令,进行网络攻击。

在WordPress 3.0版本(发布于三年前)之前,WordPress默认管理账户都是admin;攻击者以此来测试不同的密码,登录被攻击网站。如果你的WordPress使用的仍然是默认的管理员账户,并且密码比较弱的话,那么你的博客就容易被破解。

这次攻击的时间主要集中于4月份中上旬。不管你的博客托管于哪家主机商,都有可能受到此次攻击的影响;包括HostGator(我们wpchina主机最喜欢的服务商),Dreamhost,Godaddy在内的主机服务商都受到了影响。Forbes(福布斯)网站,以及许多知名的IT网站,Technorati,TechcrunchPCmageWeek等对此次攻击均有报道。

根据我们wpchina主机机房技术人员提供的信息,这次恶意攻击的范围分布十分广泛,参与攻击的ip多大9万多个。幸好,在我们技术人员的努力下,仅两三个服务器出现过几十分钟到一两个小时的中断,大多数服务器运转正常;同时,我们也通过QQ(783251666)和旺旺(jiangzhanyong)提示大家立即修改WordPress密码。在大家的共同努力下,绝大部分大部分客户的网站并没有在此次攻击中受到影响。

目前大规模攻击虽然已经结束,但是仍然有个别网友遭遇攻击。因此,我们在这里在强调一下,如果你的WordPress密码不够安全,请立即修改你的WordPress密码。

更换WordPress密码的办法

更换密码的步骤非常简单:

1-wordpress-change-password

  1. 登录到你的wordpress博客的管理后台。通常网址是 http://<你的域名>/wp-login.php ,或者 http://<你的域名>/wordpress/wp-login.php
  2. 通过控制台左侧的导航菜单,找到【用户(Users)】→【你的资料(Your Profile)】。
  3. 滚动屏幕,到【关于你自己(About Yourself)】部分,其中有一项【新密码(New Password)】。新密码至少应该满足一下条件:
    • 密码应该同时包含大小写字母,最好加上数字;
    • 密码应该包含一些特殊符号,比如(!@#$%^&*)等;
    • 密码长度至少8位,建议12位以上。
  4. 然后滚动到屏幕最下方,点击【更新资料(Update Profile)】按钮。

修改WordPress登录文件名

这个办法就是前几天遭遇攻击的那位网友想出来的。他的网站正在遭遇攻击,这里就不提他的网址了。

WordPress管理后台(控制台)的登录地址是http://<你的域名>/wp-login.php,或者将WordPress安装在wordperss子目录内的话,登录地址是http://<你的域名>/wordpress/wp-login.php。

攻击者也需要通过该网址进行破解;因此,如果你将wp-login.php换个文件名,随便更换一个,比如叫做wp-denglu.php,或者干脆换个后缀,叫做wp-login.phx。这样,攻击者基本上就无法进行破解了。

2-wordpress-change-login-filename

这个办法麻烦的地方是,当你自己需要登录的时候,还需要将该文件的名字修改回来。

限制登录者的ip地址

在去年这篇关于WordPress安全的文章10条加强WordPress安全的实践技巧中,我们曾经介绍过一个办法,可以通过限制登录者的ip地址,来防止其他人登录你的WordPress后台。

但是,国内大部分用户都是使用的动态ip(拨号连接网络的时候,运营商随机分配一个ip地址给你),有些运营商分配给用户的,甚至是局域网内部ip;因此,这个办法对于ipv4地址紧缺国家的用户而言,并没有太大的意义。

当然,如果你登录博客ip地址是固定,比如某些公司、学校等机构内的用户,我们还是非常建议你使用这个办法来保护你的WordPress博客的。

具体办法很简单。首先通过ip138.com或者ip.cn查询一下你的ip地址,替换掉以下代码中红色的ip地址。然后,将这段代码放入到你网站根目录下的.htaccess文件中。

# 保护 wp-login.php 文件

<Files wp-login.php>

Order deny,allow

Deny from All

Allow from 123.45.67.89

</Files>

此外,该文中提到的其他的安全技巧,比如最后一条,移除WordPress登录页面的错误信息等,也是可以参考的措施之一。

分享本文:


评论: 请立即修改你的WordPress密码

留言给文章 Jiang 取消回复

邮箱地址不会被公开。 必填项已用*标注