如何重命名运行在IIS6上的WordPress wp-login.php?

时间:2013-07-13 作者:Joshua

我的Windows 2003 VPS最近挂起,因为机器人程序连续几个小时不停地敲打我的WordPress登录php(根据IIS6日志确定)。这导致MySQL耗尽了所有分配的1G RAM。重置VM后,我迅速重命名了wp登录名。php来防止我的服务器再次崩溃。

按照重命名新安装的web应用程序的管理员用户名和管理员登录文件夹/路径的标准做法,在6月份第一次安装WP之后,我尝试重命名WP admin文件夹,但失败了。我向wp admin添加了Windows身份验证,希望这将有助于提高安全性,但事实证明,这并不能阻止对wp登录的DDOS攻击。php。

目前,我将不得不将其重命名回原来的wp登录名。php我应该需要登录。是否有方法永久重命名wp登录名。php并同时具有它的功能?我已经安装了Ionics Isapi Rewrite Filter 允许IIS6在一定程度上支持htaccess。

到目前为止,我在互联网上找到的文章都是针对Apache和更改管理员用户名和密码的(一个网站甚至建议使用至少30个字符长的密码!)。

EDIT:

我删除了wp登录的匿名访问。php还启用了Windows身份验证,然后将“HTTP 401.2-Unauthorized”错误的自定义错误页转移到空白HTM文件。我不知道这个方法是否可以欺骗僵尸网络,但当用curl测试时。exe,如果用户未经身份验证,将显示空白页。

EDIT:

上述方法被证明无效:(僵尸网络回来攻击了我受保护的wp-login.php。我已经重命名了wp-login.php,让我们看看现在发生了什么。

1 个回复
SO网友:David Kryzaniak

不久前我写了一篇博文,这是一个快速而肮脏的黑客攻击,让黑客认为你的wp登录。php是一个404页面。http://dave.kz/hide-your-wp-login-page-from-hackers/.

(来自博客)基本上,我添加了。。。

header("HTTP/1.0 404 File Not Found");
到wp登录的顶部。php页面。希望攻击者正在寻找200 HTTP响应。

此外,你可以做一些像。。。

if(!isset($_GET[\'allow\']) || $_GET[\'allow\']!=\'true\'){
    echo "Sorry, you need to use the magic URL to login.";
    die();
}
同样,在wp登录的顶部。php。此方法需要您转到http://www.example.com/wp-login.php?allow=true

结束
标签: url-rewriting   htaccess   security   installation   iis   小码农  

相关推荐

.htaccess重定向无法正常工作[?utm_source=]

我有一个wordperss博客。这个博客有两个域名(example1.com和example2.com)。在我的情况下,示例1。com重定向到示例2。com。此重定向工作正常。我看到Google机器人不断索引我的Feedbuner和Wordpress RSS提要utm\\u源URL参数。然后,我向添加了以下代码。htaccess文件,高于mod\\u重写规则。<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{QUER