概述

前两天冒出很多Wordpress被暴力破解的新闻，群里也有人说他的博客被挂马了，一开始我倒没怎么担心，因为我的小博客应该不会被盯上吧，结果今天早晨还真的出乎意料之外的收到好几封提示非法用户暴力破解我博客的报告邮件（见下面截图），于是我整理了一些预防和解决的措施，分享给大家。

邮件反馈

可以看出来，这个人是用admin做的暴力破解，嗯，查了下IP地址这个是荷兰的一个机器，估计是肉鸡。但是我的博客是一旦密码错误就会自动引导他投案到中国CERT上去。

因为图床图片丢失，之前的邮件自动删除了，所以这里暂时没截图

预防方法

最主要的就是需要换掉用户名，Wordpress作为一个流行的博客程序，是支持多用户的，可以更换一个非用户名来做管理员，这样向上面那个死活都不一定能才出来你的用户名是什么，更无从谈起破解了。

第二就是检查一下，最好关掉作者链接（http://blog.nicky1605.com/author/xxx），或者是把作者链接换成首页地址，否则聪明一点的暴力工具可能就会通过这个来检测你的用户名，同样可以实施暴力破解。

当然，想要获取用户名还有一种方法，就是博客地址后面跟/?author=1参数，这样启用了固定链接的用户也难逃检测，于是我把这个链接直接做了301转向。

第三就是安装防护类插件了，这是不太推荐的一种，因为这种插件往往会往数据库里面添加设置，或是修改Wordpress的核心文件，造成卸载插件出现各种各样的问题。这类插件很多。这里我介绍几个。

Login LockDown

如果在某个短时间以内，同一IP段登录失败次数超过一定数量，插件将会自动禁止该IP段的登录功能。这有效阻止了暴力穷举破解密码。

插件默认设置是：某一IP地址在5分钟以内失败登录尝试超过3次后，下1小时内将禁止该IP登录,并且记录下来，用户可以通过这个插件的管理菜单修改其中的数值配置为自己需要的设置。此外，管理员可以在管理菜单中解除被锁定无法登录的IP段，插件参数设置好后，点击update settings后即可。

WordPress Exploit Scanner

这是一款WordPress漏洞扫描插件。这个插件会扫描你的WordPress所有档案（含插件、主题）以及媒体库中是否有可疑的内容，让你能轻松检查下载下来安装的插件或主题是否安全。这款插件并不会帮助你修正档案或移除可疑的代码，只是给出提示内容，需要使用者们自行判断修正，大家可以安心使用。

WordPress Security Scan

这是一款实用的安全管理和数据库优化插件。可以扫描有关服务器系统的详细信息;隐藏 WordPress 版本,防止黑客根据已知版本漏洞进行攻击;目录权限安全扫描；系统会生成个超强密码给后台密码加密；修改数据库表前缀,可以减轻 SQL 注入攻击。

Better WP Security

有黑名单功能，你可以屏蔽IP来访问Wordpress，定时备份功能，还可以让你修改你的Wordpress的登录、后台、注册等路径，登陆次数限制同样保证了数据安全，但是注意卸载后会造成一定的问题

还有类似BulletProof Security插件，如果不想用插件的话可以用.htpasswd保护Wordpress控制面板。

屏蔽IP

其实做到以上几个地方还不太够，因为可能会造成你流量的损失，我们还需要把这些IP屏蔽掉。

cPanel中可以直接支持屏蔽IP，在安全设置里面有个IP拒绝管理器

只要把需要拒绝的IP放进去就可以了。

然后这个IP访问你网站的时候就会报403错误。

在DA面板里面没有这项功能，有些自己搭建的VPS的环境也没有这个功能，我们可以通过.htaccess禁止网站上某些IP或IP段的访问。

Order Allow,Deny
Deny from 1.1.1.1 91.224.160.35
Allow from all

同样可以达到以上的效果

后记

只要是做网站就会有一定的风险，大的公司自然遭受的攻击越大，同样他们的防护能力也很强，小网站遭受的攻击小，但是也需要防范。