Better WP Security 简介
Better WP Security 是一款功能非常强大的 WordPress安全检查及修复插件,支持一键检查和快速修复,非常全面和智能。
Better WP Security 特色
隐藏敏感区域
大多数WordPress攻击是由于插件漏洞,弱口令,和过时的软件造成的。Better WP Security 可以隐藏敏感的区域,如登录页面,管理后台等。
移除meta“生成器”标签
更改WordPress登录和后台管理地址
设置某个自定义时间段不允许登录后台(离开模式)
对低权限的用户隐藏WordPress核心、主题、插件的升级提示
移除Windows Live Write的头部信息
移除RSD头部信息
重命名管理员默认账号“admin”
修改ID为1的用户的ID号
修改数据库表前缀
修改 wp-content 路径
移除登录错误的提示信息
对非管理员用户显示随机的版本号
保护
只是隐藏您的网站是有帮助的,但不会阻止一切。我们隐藏网站的敏感区域后,还会阻止某些无权限的用户访问某些页面,增加密码和其他重要信息的安全性。
扫描网站的漏洞,并提示修复
禁止烦人的机器人和其他主机
禁止烦人的用户代理
禁止主机和用户过多无效的登录尝试,防止暴力破解
加强服务器的安全性
加强密码的安全性等级
强制SSL访问管理页面 或 任何页面(服务器支持)
关闭后台的文件编辑功能
检测和阻止对文件系统和数据库的攻击
检测
及时上面的所有保护措施都失败了,Better WP Security仍会监视你的的网站,及时反馈扫描信息(自动阻止可疑用户),告诉你文件系统的任何变更。
检测机器人和其他企图寻找漏洞的行为
监视未经授权的更改文件系统
恢复
最后,如果发生了最坏的结果,Better WP Security 将定期备份你的数据库和发送到邮件(如果你选择这么做),允许你快速恢复。
Better WP Security 安装
直接在后台插件安装界面搜索 Better WP Security 即可在线安装,或者在此下载 Better WP Security。
启用以后,会提示你备份数据库,是否允许自动修改网站的核心文件,是否一键应用基本的安全防护。接着才会显示插件的所有功能菜单。
米粒在线是分享了使用方法,但是有些同学使用后却后悔了,因为有碰到连后台都无法打开了,这要怎么解决了。
这里交给大家一个最简单的解决方法。
删除wp-config.php文件里
define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);
这两行。
但这个方法貌似对新版的wordpress没什么效果,这里米粒在线再分享另外一种方法给大家做参考:
慎用Better WP Security插件
Better WP Security是一个WordPress安全插件,可以提高WordPress网站的安全性。但是Better WP Security安装完会有许多的副作用。把我曾经遇到的安装Better WP Security出现的问题说明一下。
Better WP Security的副作用
1、阻止Google爬虫抓取网站
安装Better WP Security之后,Google站长老是报错,说是不能抓取网站。因为Better WP Security认为如果来自一个IP的404错误多了之后,会把该IP进行封锁。
2、影响网站的认证
在百度联盟验证失败的解决方法一文中曾经提到因为Better WP Security的问题,一直百度联盟无法验证成功,把Better WP Security所添加的.htaccess代码删除以后,最后才验证成功。
3、网站搬家问题多多
最近网站搬家,开始很顺利,可是搬家完毕后台死活进不去。最后是更改数据库文件,更改.htaccess文件等等,其中的经历非一言所能叙述。最后虽然成功了,但是以前的首页是www的,现在www加不上了。
完全删除Better WP Security的方法
如果想禁用Better WP Security,单纯的删除插件是不可以的。因为Better WP Security还在数据库中添加过文件,在.htaccess添加过代码。
正确删除Better WP Security的方法应该首先禁用插件,然后进入数据库中把Better WP Security所添加的数据库选项删除掉。Better WP Security所添加的数据库选项多带有bwps前缀。.htaccess中所添加的Better WP Security一般都有标记。
删除了上述两项以后才可以把Better WP Security插件删除掉。
具体的删除方法可以看这个视频:http://www.youtube.com/watch?v=nX5l4qH_BOE (这地址要翻了墙才能访问)
题后话
可能Better WP Security设置不对,因此导致了如此多的问题。也许Better WP Security设置正确了,就不会出现这些问题了。因此用与不用Better WP Security因人而异。
设置Better WP Security后无法登录WordPress
网络安全始终是一个很热的话题。每天都有网站在受到攻击,不论你是一个很受欢迎的大网站,还是一个个人的小网站,都有受到攻击而宕机的可能。越受欢迎,那么你的站点就越容易遭受到攻击。
Wordpress的网站往往容易受到黑客的攻击,因为Wordpress比广泛的使用而且是相对比较缺乏安全性的。
作为一名小站长,虽然站点被黑客攻击不会造成非常大的损失。但是如果频繁被黑客光顾,一弄就把首页换了,还大大方方留个名字,一定会让你心情很烦躁。在一番搜索之后选择了插件Better WP Security。
Better WP Security 插件是一个强大的工具,它可以帮助你解决博客上的数据问题。你可以通过这个插件来限制一些特定的IP,禁止机器人和ip地址登录到你的后台,并且可以检查安全。该插件同时提供安全问题修补程序,但你在进行打补丁的时候,要记得先备份数据库和文件一次,以防万一。
然而,插件设置Better WP Security后无法登录WordPress,总是跳转到404页面not found,百度很久毫无头绪,在插件支持论坛找到临时解决方法如下:
(1)gxgl提供
在wp-config.php设置define( ‘BWPS_AWAY_MODE’, false );
I had same problem and I have found this
define( ‘DISALLOW_FILE_EDIT’, true );
define( ‘BWPS_AWAY_MODE’, true );
define( ‘BWPS_FILECHECK’, true );
at the top of wp-config.php
After I set
define( ‘BWPS_AWAY_MODE’, false );
I was able to access the admin side.
Also I have deactivated this function from plugin options.
(2)由Peter提供
进入.htaccess,找到RewriteRule 即前面加#号:# RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
You need to look into your .htaccess file
lines like
RewriteCond %{HTTP_REFERER} !^(.*)yourblogadress/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)yourblogadress/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)yourblogadress/HIDDENBACKEND1
RewriteCond %{HTTP_REFERER} !^(.*)yourblogadress/HIDDENBACKEND2
RewriteCond %{HTTP_REFERER} !^(.*)yourblogadress/HIDDENBACKEND3
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
Then you can see how the rewrite is done if you forgot it.
Or you remove the lines/setting a comment # to make it invalid.
Attention: WPSec. might have set .htaccess to read-only.
(3)由Handoko提供
Hello, I ever had bad experiences with this plugin that caused me not able to login. Here are somethings you may try:
First, and the very first make necessary backup of your important files.
首先,备份必须的重要文件。
You can use your FTP program or cPanel File Manager to do it. What to backup? Here are the important files:
- .htccess on the root of your website folder
- Entire folder of the plugin wp-content/plugins/better-wp-security
- Entire folder of your website
- The database of the website using cPanel phpMyAdmin
To backup all files in a folder, it will be easier if you compress the entire folder.
Now, things you can try to retrieve your login:
1. Try to delete (or rename) the .htaccess file. If you still unable to login, you should restore it from the backup. But if you can login, it means there are somethings wrong in the file. You need to examine and edit the file (restored from your backup), pay attention of the texts between these lines:
# BEGIN Better WP Security
# END Better WP Security
1、尝试删除或重命名.htaccess,如果你仍然无法登录,你可以从备份恢复它。但是如果你能够登录说明此文件有错误。你需要检查并编辑此文件。注意这两行之间的文本。
# BEGIN Better WP Security
# END Better WP Security
2. You may also try to use .htaccess file from your other WordPress website that is working correctly. You should not try it if one of the website has WordPress multisite enabled.
3. If you still have no luck, you may try to delete the entire folder of the plugin wp-content/plugins/better-wp-security. You can even combine this option with option no. 1.
If you managed to login to your admin area. You may need to reinstall the plugin (or perhaps uninstall if you not wish to use it). This reinstallation is neccessary to make sure the plugin won’t left unused data on your website (database). Once if you’re sure your website is working correctly, you should do backup immediately.
These above are based on my experiences, I can’t guarantee success. Try it on your own risk. Hope it helps.
参考:
Gain access to your dashboard. Please read:进入你的仪表盘,请点击 文章链接
You deleted the plugin, but some configuration settings may still in your database. Here has information how to delete the data in database:如果你删除了插件,但是一些配置设置可能仍然在你的数据库中,点击这里告诉你如何删除数据库中的数据。
To avoid future self locking, read here:避免以后自身锁定,点击这里
如果以上办法都无法解决的话,这里有个最简单的办法,直接去wordpress官方下载新版的wp程序,把里面的.htaccess文件替换掉你空间根目录下的.htaccess文件试试看。效果应该是有的。