Tag Archives: Web安全

WordPress 登陆保护

Web安全一直是一个很需要重视的问题。

一个网站,涉及到太多的技术:HTML、CSS、JavaScript、PHP、ASP、FTP、HTTP、SSL、SQL、Linux等等。从前端到后台甚至到服务器系统,每一个都很可能成为黑客攻击的途径。使用成熟的开源建站系统可以很大程度避免这方面的问题,毕竟成熟的开源系统经得起广大程序员的检验,并能以最快的速度处理反馈回来的BUG。例如本站使用的WordPress,发展到现在不知道已经经历了多少风雨的洗礼,系统越来越健全。在加上我对自己WP建站的经验还是有点自信的,做了一些防护措施,大部分攻击都是能扛下来的。

今晚在乌云上看到2014-01-25公开的WordPress暴力破解登陆的漏洞,在开放投稿注册并且后台支持用户名登陆的WordPress架构的网站上,在前台页面批量获取用户名,用弱口令字典暴力破解。一个Python脚本就可以搞定。

不禁觉得,如果没在WordPress原来的基础上做些设置和修改加强安全性的话,一有一个漏洞爆出来就容易跟着沦陷了。
Continue Reading…