wordpress作为一款全球用户最多的开源blog程序,搞不懂为什么后台登陆地方木有验证码以及尝试登陆次数的限制。
如果有用户偷懒,直接使用admin账户作为管理员账户,那还是蛮危险的,毕竟这么多人用,总有些人是默认的admin管理员账户。
1、入侵者只需要通过页面信息就能知道wordpress的版本信息,以为这个版本信息wordpress是默认输出的。
防范:在当前主题的 functions.php 添加以下代码去掉 WordPress 版本信息,减少被恶意wordpress攻击软件找到的机会。
remove_action( 'wp_head', 'wp_generator');
2、后台管理员不要偷懒使用默认的 admin ,这样攻击软件穷举 admin 的密码来尝试登陆的图谋就不会得逞。
如果你已经使用了 admin 作为默认管理员账户,那么在SQL数据库中运行:
UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';
把默认 admin 改成你需要的新的用户名。
3、常规点的你也可以安装后台登陆尝试次数限制的插件,这个也算是wordpress的优势吧,各种插件支持,很好。比如:Limit Login Attempts 插件,就可以限制登陆尝试的次数,以防止通过穷举法获取后台密码。
好了,以上几点就是最基本的wordpress的安全防范手段。