黑客是如何通过我的.htaccess文件的?
我在共享主机上运行一个自托管WordPress站点。我有以下安全设置:黑客是如何通过我的.htaccess文件的?,.htaccess,security,.htaccess,Security,我在共享主机上运行一个自托管WordPress站点。我有以下安全设置: 服务器上/www/目录中的WordPress文件。755对/www/dir的权限 wp-config.php设置为440 复杂用户名(即非管理员) 复杂密码 2FA在用 .htaccess文件位于/www/(.htaccess权限644) .htpasswds文件位于/stuff/(目录与/www/;/stuff/755权限相同级别;.htpasswds权限644) 以下是我登录管理面板的过程: 我去mydomain
- 服务器上/www/目录中的WordPress文件。755对/www/dir的权限
- wp-config.php设置为440
- 复杂用户名(即非管理员)
- 复杂密码
- 2FA在用
- .htaccess文件位于/www/(.htaccess权限644)
- .htpasswds文件位于/stuff/(目录与/www/;/stuff/755权限相同级别;.htpasswds权限644)
以下是我登录管理面板的过程:
- 我去mydomain.com/wp-login.php
- 弹出挑战我,原因是.htaccess等。我输入用户名和密码
- 我进入wp-login.php,在那里输入我的WordPress管理员用户/密码
- 2FA给我发了一封带有pin码的电子邮件,我把pin码放进去了。这让我进入管理面板
我感谢任何帮助和指导 有很多黑帽seo软件和其他工具可以绕过互联网安全和验证码 如果您想停止此操作,请将您的管理员登录页更改为只有您知道的链接。机器人不会捡到任何普通的东西
一般htaccess和权限问题最好在stackoverflow上提问。由于wordpress网站目前还没有被破解,所以不管怎样,请使用强而好的密码,不要再查看日志,因为暴力并不是wordpress网站被破解的方式。你确定人们正在通过htaccess吗?(也就是说,自己检查服务器日志)一些安全插件报告的数字比实际发生的数字要高,这是为了让用户更好地感受安全security@kero说得好。插件正在报告尝试,包括尝试的用户名。我假设.htaccess被绕过了,因为我不明白为什么有人甚至可以访问wp登录。我将检查服务器日志并报告。@kero更新:weblog与Loginizer插件匹配。在过去的24小时内,在我的domain.com/xmlrpc.php文件上进行了尝试。
#htaccess contents
<Files wp-login.php>
AuthUserFile /path/to/.htpasswds/which/is/outside/of/www/
AuthName "Private access"
AuthType Basic
require user tref18
Satisfy All
</Files>
#.htpasswds contents
tref18:[a hash?]