VVordpress安全篇,博客被CC攻击的三种解决方法

最近这两天有来淘金客的朋友都应该知道,淘金客博客时不时的打不开的情况,要么就是非常慢,当我发现的时候是晚上,主机商也睡觉了,没有办法,第二天才联系主机商解决,当时给了一个结论,就是登录页面被CC攻击了,也就wp-login.php页面被刷了,我想大概的原理就是一直冲击这个页面,导致服务器负载过大,接下来就出现网页打不开的情况。

当时我也挺急的,我想作为任何一个新手站长或是博主遇到这种情况也会心急如焚的,但是急也没有用,也不好意思一直找主机商解决,因为麻烦人家太多了人家也是会烦的,况且人家主机商是没有任何义务给你解决那么多问题的,换做他们的话说:只要网络没有问题那就是正常的,原则上来讲,主机商只销售主机,而技术方面就要站长这一方自己想办法解决了。

但是出现了问题还是得解决,因为自己的网站、自己的排名只有自己会关心,所以自己还是拼命找方法解决,而淘金客这两天的时间就是折腾在这方面方面去了,问题出现了它总是有解决的方法,对我们菜鸟来说最靠谱的方法就是自己学,自己百度,因为别人帮不了你一辈子,还是那句话,建网站容易,管理网站难,网站以后出问题了解决更难。

像没有什么人浏览和排名的博客来说,这事可能并不严重,但是当你网站有一定的流量、有一定的权重的时候出现网站安全等问题是非常严重的,所以在有空闲的时间里多学学维护方面的知识,这些知识对于一个站长来说;迟早是会遇到的。用我的话说;你给别人打工不如让别人给你打工,你让别人来给你解决问题还不如你去给别人解决问题,技术在自己身上总是最好的。

俗话说功夫不负有心人,的却如此,只要你肯学习、肯请教,那么问题就会得以解决,就像淘金客一样,最终找到了解决方法,接下来,我们现在说说网站被CC攻击时的解决方法:

首先我们要说login被攻击时的反应,被攻击的时候你的博客会出现打开速度慢、或者是打开网站持续出现建立数据库失败,或者是直接打不开,那么这个时候很可能有人在弄你的网站,据我遇到的情况,CC攻击不同于之前的流量攻击,CC攻击可以直接导致你的站点无法打开,消耗服务器资源。

当你遇到这种情况了首先要去你的服务器进行确认是否被攻击,那么由于淘金客是用的独立vps,所有我就以vps为例,当vps出现上述说的可能被攻击的情况时,请用putty登录SSH,运行以下代码:

cat /var/log/secure|awk ‘/Failed/{print $(NF-3)}’|sort|uniq -c|awk ‘{print $2″=”$1;}’

运行过后如果出现有“ip=数字”之类的内容,那就表示您的主机确实是被攻击,如以下页面:(ip地址就是攻击者使用的IP地址,等号后面的数字就是攻击次数。)beigongji

那么他为什么攻击呢?那应该是它想通过暴力破解和字典攻击的方法破解你的后台登录密码;窃取你的信息以及恶意攻击导致你的网站无法打开,从而达到恶意竞争的目的。

那么出现这种情况该如何解决呢? 淘金客经过两天的折腾找出了四种解决方案,下面我说说解决wp-login被攻击的四种解决方法、

一、

用Limit Login Attempts插件监控登录情况,它能侦测到用户登录过多,密码输入超过一定次数之后会锁定攻击者的ip,除监测锁定之外,它还能把攻击者的ip地址发到你的邮箱,可以第一时间让管理员知道网站被攻击,让我们第一时间做好防护措施,做一些处理,防止网站被大量攻击消耗服务器资源或者是受到安全威胁。

Limit Login Attempts插件可以在vvordpress后台插件安装处搜索出来并安装,安装后设置锁定规则即可,之后别人在登录的过程中输入次数超过你设置的次数,那么它将被锁定。

二、

那么第二种方法就是给登录页面加一个保护程序,加一层防护,这个方法可以以修改空间文件的方式实现,

将以下内容保存到/路径下的.htaccess文件

<Files wp-login.php>
AuthGroupFile /dev/null
AuthType Basic
AuthUserFile  /home/username/.htpasswd
AuthName "admin"
require valid-user
</Files>

该内容的意思是保护wp-login.php页面,要求必须输入密码才可以访问,就是想要访问wp-login.php这个页面是需要输入输入一次页面的。

以上文件红色的usernname改为自己的主机名,admin该为自己的后台登录名

这个时候我们还需要一个.htpasswd文件,用于设置我们的保护账号和密密码,还需要生成一个加密过的账号和密码放在.htpasswd文件里面,以便我们自己访问的时候得以通行。

这边的.htpasswd文件我们可以在主机管理面板新建一个,命名为htpasswd就好,接着我们要生成一个账号和密码放在这里,账号密码可以通过工具直接生成一个,生成网址 http://www.htaccesstools.com/htpasswd-generator/

生成后把内容复制下来保存到命名为.htpasswd的文件里,并上传到用户根目录(非网站根目录),即链接FTP后展示的第一个目录。我的是DA面板,这个文件在空间路径CMD_FILE_MANAGER/下。

然后打开 网址/wp-login.php测试一下。

这个时候就提示你需要输入用户名和密码,输入你在htpasswd生成的用户名和密码即可访问wp-login页面,不输入或者是输入错误是无法登陆的。

简单点说就是用htaccesstools生成一个账户密码放在 /下的.htpasswd文件,没有文件就创建一个.htpasswd把htaccesstools生成的内容复制过去保存即可。

然后把.htaccess 传到/domains/yourname.com/public_html目录下(我的已经有这个文件,直接复制到这个文件即可,如果没有这个文件就创建一个命名为htaccess,然后把上面的那一段代码复制过去即可。

三、

修改登录页面文件,我们把后台登录页面文件改了,VVordpress默认的登录文件是wp-login.php,我们可以把这个文件改成其他的名字,比如wp-houtai.php、denglu.php都可以,但是文件后缀.php千万莫改。

然后再新建立一个wp-login.php,内容可以留空,也可以乱打几个字,不知道这是不是叫障眼法,还是隐身术,哈哈,改过之后即使再次攻击,也没什么压力。自己可以使用 yourname.com/你设置的新名字.php登入后台。

经测试以上三种问题都能解决wp-login页面被攻击的问题,建议用第一种和第三种因为他比较简单些,第二种比较麻烦,而且还时不时的出错,把自己也关在外面,出现这种问题的话不得不在空间里面修改掉加入的代码。

好了,这几天淘金客除开折腾博客安全问题之外,我另一方面也在折腾vps,这段时间让我知道,做网站真的不是一件简单的事情,尤其是对我们个人小站长来说,因为我们遇到问题不可能每次都花高价去请人来搞,因为关于这方面的问题实在是太多,DA面板、数据库啊、程序啊、代码啊、脚本、编程、通信以及VPS等等等等的会遇到的问题太多,对一个建站草根来说,这方面的花费你也是消耗不起的。

所以淘金客建议你尽量在空闲的时间学习学习一些知识,比如html、易语言、编程、数据库以及vps这方面的问题,现在你没有遇到,但是你总会遇到的,而且当你站做久了、做好了的时候在遇到也好解决一些。

嗯,这边关于wordpress登录页面安全的问题就到这边了,淘金客呢最近在折腾各种东西,比如VPS命令、网站安全、DZ之类的东东,为以后奠定基础,但是折腾归折腾,赚钱方面还是不能落下,对建站、推广、服务等各种赚钱不会间断,今后我也会分享各种问题的解决方法到博客。



15 条评论

  1. 内涵段子

    02. 10月, 2015

    网站不错,雁过留痕,欢迎互访!

    Reply to this comment
  2. 歪妖内涵网

    20. 9月, 2015

    网站不错,雁过留痕,欢迎互访!

    Reply to this comment
  3. 爱奇趣分享网

    23. 8月, 2015

    我来留下脚印

    Reply to this comment
  4. 最励志官网

    22. 8月, 2015

    好久没来了,过来踩踩

    Reply to this comment
  5. 碎碎念

    22. 4月, 2014

    是 WordPress 不是 V V ordpress

    Reply to this comment
  6. 百家网络博客

    24. 3月, 2014

    写的很详细,学习了!

    Reply to this comment
  7. 我要赚q币网

    26. 2月, 2014

    看了几遍,总算看懂一二了

    Reply to this comment
  8. 小兔

    24. 2月, 2014

    用虚拟主机的飘过

    Reply to this comment
  9. 39赚钱网

    24. 2月, 2014

    最近八戒日付网的站也是这样的问题呢!小心啊。

    Reply to this comment
  10. 亿站哥们联盟

    24. 2月, 2014

    还好你吧问题解决了,不然…

    Reply to this comment
  11. 长点心眼吧。

    Reply to this comment
  12. 淘金笔记

    24. 2月, 2014

    不知道谁这么闲啊 总喜欢攻击别人的站

    Reply to this comment
  13. island

    23. 2月, 2014

    草根站长必须要全能

    Reply to this comment
  14. 老大实在太牛了,保存这篇文章到自己U盘了。除非U盘不见了,~~~~~~~

    随身带着钥匙形状的U盘。哈哈老婆都没那么亲

    Reply to this comment

发表评论