设为首页收藏本站我的广告

搜索
Hi~登录注册
吾爱互联|免备案PHP空间,KVM VPS, OVZ VPS,独立服务器丨建站技术丨源码分享丨软件下载»论坛 资源分享 wordpress分享 wordpress博客如何有效防范暴力破解
返回列表 发新帖
查看: 1485|回复: 0

wordpress博客如何有效防范暴力破解

[复制链接]
吾爱互联

1892

主题

1899

帖子

6406

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
6406
发表于 2015-5-14 13:48:55 | 显示全部楼层 |阅读模式
wordpress博客系统使用量是相当大,所以漏洞也很容易被不良份子利用,现在我们来讲讲如何防范暴力破解,让你的wordpress博客更回健壮。

</div><p>wordpress博客如果开放投稿注册并且后台支持用户名登录的话,可以先在前台页面批量获取用户名,然后找个弱口令字典,就可以暴力破解了</p>
<p>批量获取用户名的方法是遍历author页面,从html中提取authorname</p>
<p>以携程UED博客为例:</p>
<p><strong>1、author页面地址为:http://ued.ctrip.com/blog/?author=1 ,ID是自增的</strong></p>
<p><img  width="494" height="253" src="/get_pic/2015/01/21/20150121002019141.png" alt="image" /></p>
<p>&nbsp;</p>
<p><img  width="777" height="411" src="/get_pic/2015/01/21/20150121002023670.png" alt="image" /></p>
<p>&nbsp;</p>
<p>红色圈内即用户名admin。</p>
<p><strong>2、登录页面http://ued.ctrip.com/blog/xmlrpc.php</strong></p>
<p>xmlrpc登录接口默认没有验证码,最大错误尝试次数限制等。</p>
<p>利用xmlrpc.php提供的接口尝试猜解用户的密码,可以绕过wordpress对暴力破解的限制。已经发现了大规模的利用,启用了xmlrpc的同学需要尽快修复。</p>
<p>这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php</p>
<p><!--?xml version="1.0" encoding="iso-8859-1"?--></p>
<p><methodcall><methodname>wp.getUsersBlogs</methodname>
<params>
<param /><value>username</value>
<param /><value>password</value> </params>
</methodcall></p>
<p>&nbsp;</p>
<p>其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:</p>
<p>错误返回:</p>
<p><img  width="457" height="347" src="/get_pic/2015/01/21/20150121002026624.png" alt="image" /></p>
<p>&nbsp;</p>
<p>正确返回:</p>
<p><img  width="507" height="298" src="/get_pic/2015/01/21/20150121002029930.png" alt="image" /></p>
<p>&nbsp;</p>
<p><strong>3、防止暴力破解</strong></p>
<p>记录下登录失败的用户ip,用户名,密码,时间等,如果在一定时间内(同一ip)登录失败的次数大于阈值,则禁止登录。</p>
<p>建表:</p>
<p><img  width="493" height="178" src="/get_pic/2015/01/21/20150121002033516.png" alt="image" /></p>
<p>&nbsp;</p>
<p>CREATE TABLE `wp_audit` (<br />
`id` BIGINT(20) UNSIGNED NOT NULL AUTO_INCREMENT,<br />
`ip` VARCHAR(50) NOT NULL DEFAULT '',<br />
`username` VARCHAR(100) NOT NULL DEFAULT '',<br />
`password` VARCHAR(100) NOT NULL DEFAULT '',<br />
`createdate` DATETIME NOT NULL DEFAULT '0000-00-00 00:00:00',<br />
PRIMARY KEY (`id`),<br />
INDEX `ip` (`ip`)<br />
)<br />
COLLATE='utf8_general_ci'<br />
ENGINE=MyISAM</p>
<p>修改wordpress代码:</p>
<p>wp-<a href="/tags.php/include/" target="_blank">include</a>sclass-wp-xmlrpc-server.php</p>
<p><img  width="916" height="409" src="/get_pic/2015/01/21/2015012100203695.png" alt="image" /></p>
<p>&nbsp;</p>
<p>简单阻止下暴力破解吧。。</p>
<p>wp-login.php文件同理了,自行处理吧。</p>
<p>防止brute force crack的策略很多啦,基本就是排除异常登录者。</p>
<p>刚上线就有鱼儿上钩了:</p>
<p><img  width="522" height="20" src="/get_pic/2015/01/21/20150121002040174.png" alt="image" /></p>
<p>&nbsp;</p>
<p><img  width="521" height="23" src="/get_pic/2015/01/21/20150121002044908.png" alt="image" /></p>
<p>&nbsp;
公众微信:idc5ahl
公众QQ:吾爱互联
关注公众微信,公众QQ每天领现金卡密
卡密介绍(http://www.5ahl.com/thread-2182-1-1.html
回复

使用道具 举报

返回列表 发新帖
游客
回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 点我注册

快速回复 返回顶部 返回列表
吾爱互联( 吉ICP备14002996号-1 )

Powered by Discuz!X3.4 © 2001-2013 Comsenz Inc.