分类
基础架构

WordPress修改后台管理地址增强安全

补一下吧,说说前段时间做的一件事情:由于有log提示莫名其名来了很多异常的WP后台登陆请求,导致自己都无法登陆了。于是乎,简单的修改了一下WP的后台登陆地址。

步骤很简单:

    1. 修改根目录下wp-login.php到其他任意你喜欢的名字.php;
    2. 打开这个文件,替换所有wp-login.php到新的名字;
    3. 打开wp-includes目录下面的general-template.php文件把其中的wp-login.php替换为新的名字,唯一有一个例外,238行的wp-login.php不要修改,或者修改成index.php。这一行是做wp-admin跳转用的。如下:
      function wp_login_url($redirect = ”, $force_reauth = false) {
      $login_url = site_url(‘wp-login.php’, ‘login’);

这样就可以了,然后每次WP更新都要再操作一次。

当然为了安全,密码也很重要!

分类
基础架构 思想与声音

Password hash, salt, frontend javascript, https

这几天看了一下密码安全方面的资料,包括数据库中密码的保存方式,前端密码的传送等等。

感觉,MD5破解如此简单,网络上那么多明目张胆的提供hash查询的。

加点佐料来hash数据库中的密码,还是基本的安全措施,必须要做,否则hash基本无用,虽然也不能保证绝对安全。

用户密码太弱智,就算再安全的hash算法,也无用。

前端https还是相当重要,javascript来hash用户端密码基本无用,算法都暴露在外面了。

可是国内还是那么多网站,B2C网站基本的https都没有,情何以堪… 想到以前的明文密码时间,更是离谱…

参考一下下面几个网站的看看。

http://dustwell.com/how-to-handle-passwords.html

http://www.cnblogs.com/lixiong/archive/2011/12/24/2300098.html

http://codahale.com/how-to-safely-store-a-password/