wordpress账户防暴力破解攻击

一、修改数据库表前缀

默认的表前缀是wp_，如果你安装博客的时候没有修改，可以参考这篇文章修改下表前缀。

修改完登录测试下，如果登录成功后提示“您没有足够的权限访问该页面”，说明前缀没有修改完整，参照这篇文章搜索下剩下的，然后一个个手动修改即可。

二、去除wordpress特征

在当前主题(wp-contents/themes/xxx) functions.php 文件末尾添加以下代码去掉 WordPress 版本信息，减少被特征提取的机率。

 

1	remove_action( 'wp_head', 'wp_generator');

三、修改默认用户名admin

默认的用户名不要为 admin，通过一条 SQL 语句修改 admin 的用户名：

 

1	UPDATE xxx_users SET user_login = 'username' WHERE user_login = 'admin';

将xxx_users中的xxx替换为你第一步改的前缀。

四、保护wp-login.php

将下面的代码添加到当前主题的 functions.php 文件：

 

1 2 3 4

add_action('login_enqueue_scripts','login_protection'); function login_protection(){ if($_GET['key'] !='pass')header('Location: /404.html'); }

这样一来，后台登录的唯一地址就是 http://hostname/wp-login.php?key=pass，如果不是这个地址，就会自动跳转到 404.html 页面。

建议修改上面的key pass为其他字符串，例如wp-login.php?zheshihoutaidizhi=hehehehehehehehehhhh，404.html也可以换为网站主页地址http://blog.b1uew01f.net/ http要带。

这时候，由于访问/wp-admin/时是跳转到wp-login.php进行登录的，经过上面的修改后，会再跳转到404.html页面，也启到一定的疑惑作用。

五、主机安全加固

wordpress博客只是主机中一个web应用，如果主机安全没有做好也是容易被攻击沦陷的，下面是我前面写的几篇关于配置安全linux服务器的文章，核心的思想就是：更改默认服务端口、增加防火墙判断，防止服务被暴力攻击。

• Linux下vsftpd的安装、用户管理和SSL安全配置
• Linux服务器安全配置之MySQL
• Linux服务器安全配置之系统用户管理
• Linux服务器安全配置之SSH
• Linux服务器安全配置之IPtables+fail2ban