wordpress博客如何有效防范暴力破解

wordpress博客如果开放投稿注册并且后台支持用户名登录的话,可以先在前台页面批量获取用户名,然后找个弱口令字典,就可以暴力破解了

批量获取用户名的方法是遍历author页面,从html中提取authorname

以携程UED博客为例:

1、author页面地址为:http://ued.ctrip.com/blog/?author=1 ,ID是自增的

 

 

红色圈内即用户名admin。

2、登录页面http://ued.ctrip.com/blog/xmlrpc.php

xmlrpc登录接口默认没有验证码,最大错误尝试次数限制等。

利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。已经发现了大规模的利用,启用了xmlrpc的同学需要尽快修复。

这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php

wp.getUsersBlogsusernamepassword

 

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:

错误返回:

 

正确返回:

 

3、防止暴力破解

记录下登录失败的用户ip,用户名,密码,时间等,如果在一定时间内(同一ip)登录失败的次数大于阈值,则禁止登录。

建表:

 

CREATE TABLE `wp_audit` (
`id` BIGINT(20) UNSIGNED NOT NULL AUTO_INCREMENT,
`ip` VARCHAR(50) NOT NULL DEFAULT '',
`username` VARCHAR(100) NOT NULL DEFAULT '',
`password` VARCHAR(100) NOT NULL DEFAULT '',
`createdate` DATETIME NOT NULL DEFAULT '0000-00-00 00:00:00',
PRIMARY KEY (`id`),
INDEX `ip` (`ip`)
)
COLLATE='utf8_general_ci'
ENGINE=MyISAM

修改wordpress代码:

wp-includesclass-wp-xmlrpc-server.php

 

简单阻止下暴力破解吧。。

wp-login.php文件同理了,自行处理吧。

防止brute force crack的策略很多啦,基本就是排除异常登录者。

刚上线就有鱼儿上钩了:

 

 

时间: 2024-10-24 02:06:12

wordpress博客如何有效防范暴力破解的相关文章

管理WordPress博客手机软件集锦

互联网和移动电话业的发展已经极大地改变了我们的生活.这两项革命性的技术随着智能手机的推出已经融汇到一起了.现在智能手机几乎随处可见,创造了大量新的机会来为这些移动设备开发应用软件. 如果你拥有一个WordPress发布平台,或者你是一个为你的客户提供WordPress解决方案的开发者,这里编制了一些管理WordPress博客的手机软件,将会帮助你和你的客户在任何地方任何时候都可以来管理WordPress发布平台. iPhone & iPod Touch WordPress for iOS 该软件

WordPress博客:伪静态链接不利于收录

wordpress博客内容页百度收录缓慢.只收录Tag页面.索引量上升收录量却不动-..这样的问题是wordpress博主常常遇到的.问题在哪里? 相信很多接触wordpress都是从各种seo教程开始的,而这些教程中很重要的一个章节就是wordpress链接的伪静态.而在wordpress设置项中,固定链接的设置也被放在很醒目的位置.于是这一切都让我们以为,wordpress的固定链接就是要进行伪静态设置. 伪静态链接比动态链接更有利于百度收录这是seo圈子里很流行的一种说法,但是事实真正如此

教你三步优化wordpress博客

wordpress这几年很火,由于其开放性加之丰富的模板,支持插件拓展,越来越多的人建立博客开始选择wordpress.但是仍然有部分朋友初次接触WP博客,不了解如何去优化,笔者今天就这个问题来谈谈新手如何做好wordpress优化. 一.通过代码添加关键词和描述标签 wordpress在标题和描述标签上的做法是比较奇怪的,他自带的程序是没有关键词和描述标签,而我们如果通过插件添加又感觉会拖慢速度,基于此,我们可以使用代码来解决这个问题: <?php //判断是否为首页 if ( is_home

Wordpress博客如何设置更加有利于SEO

红涛的电商圈参赛博客,就是用wordpress博客程序做的.因为之前一直自己没有过多接触这个程序,所以很多东西不是很了解.但是我还是看过很多SEO做得不错的博客,所以今天想就谈谈:wordpress博客如何设置更加有利于SEO,随着SEO行业的 发展,很多懂SEO的人,都已经迷恋上了这个程序.他的主要特点就是:程序简洁.安全系数较高.模版多.插件强大最重要的一点就是对搜索引擎非常友好,可 以简单的理解为,wordpress是一个非常好做SEO的开源程序.大家如果对wordress了解的都知道是一

WordPress博客换主题网站百度收录被K

本月18号网站(Wordpress博客系统)更换了外观主题.6月28号被百度K站了. 百度收录现在为0了.Google的收录变化不大. 收录情况:   百度会K改版的网站吗? 会. 但不是一定会. 百度会根据不同的情况做不同的处理. 百度的官方说法是: 站点改版有很多种(例如改换域名.改换目录.改换版面等等),不同形式百度的处理方式和时间均有所不同. –百度站长论坛管理员如果是内容发生根本性变化,则理论上会被视为一个全新网站,旧 有超链失效.–百度搜索引擎优化指南 官方版 2.0至于为什么是6月

WordPress博客程序常见错误的解决方法

  WordPress是主流的 Blog 搭建平台. WordPress 可以说是世界上目前最先进的 weblog 程序.目前开发的程序大多都是根据它仿造的.它更能把握搜索引擎,在你使用 WordPress 并掌握几种插件后,对于优化将不用过多的操心,它会为你想的更多. 主题"> 如果你是一个喜欢随手编上一段代码的WordPress 用户,又或者你是一个喜欢安装插件,改变主题的用户,你就会明白,错误是没有办法避免的.你也会明白当你卷入一个无法预计的错误,而又没有找到解决办法的时候是有多么的

使用nginx利用虚拟主机搭建WordPress博客

最近开始打算学习nginx web服务器,既然是学习还是以实用为目的的.我们在此以搭建WordPress博客为例. 搭建WordPress博客,我们需要Mysql数据库.PHP环境和Nginx Web服务器.主要分为以下四个步骤: 1.Mysql数据库安装及配置 2.PHP.PHP-FPM及与PHP相关组件的安装及配置 3.Nginx Web服务器搭建与配置 4.wordpress安装 注意:本次实验,除了nginx使用源码安装外,其他的软件全部使用rpm包yum方式进行安装. 一. Mysql

阿里云免费虚拟主机安装WordPress博客图文教程

前段时间我简单介绍了,阿里云免费虚拟主机搭建WeiPHP微信开发框架. 今天我带领大家搭建一遍wordpress博客程序.   准备工作:   一.阿里云虚拟主机免费版一台   最近阿里云有个零云计划真正的免费领取主机而不是所谓的33元的套餐价,有需要的可以 https://bbs.aliyun.com/read/293197.html 了解一下. 二.WordPress中文包 https://cn.wordpress.org/   基础配置:   首先给阿里云虚拟主机绑定一个已经备过案的域名,

请教个问题,wordpress博客系统的cookie机制有什么神秘之处么 ?

问题描述 请教大家个问题,wordpress博客系统的cookie机制有什么神秘之处么?我用抓包工具跟踪这个登录页面,发现在本地端会突然增加了一些cookie信息,cookie变化的相邻两个页面分别是png文件和.ico文件.按理是没有任何机会会修改到本地端cookie内容的.用HttpAnalyzerStdV5抓包工具的查询截图如下:(访问文件button-grad.png时的完整头信息:)可以看到此时的cookie只有一个.服务器反馈的response中也没有任何新增cookie信息.但到下