昨天我的wordpress网站被人暴力破解了.其实在阿里云盾上有势态感知和安骑士，每日短信提醒：发现危险：web应用攻击，但我没在意，当然也可能心存侥幸认为那有那么容易破解密码。

结果昨天我登录网站后台时，发现媒体库中有打包的php程序文件，我又查询云盾后台数据。悲催~！网站被暴力破解了。

首先，我修改了密码，然后用SVN还原代码同时用备份的数据库恢复数据（服务器每天凌晨3:30自动备份数据库）

其次，为了加强安全,我安装两个插件：

1、google-authenticator

谷歌二次验证就是使用一款手机软件中的六位数动态密码对账号进行“二次验证”保护，这样即使他人获取你的密码，没有动态密码也无法登录你的账号。

下载地址：https://wordpress.org/plugins/google-authenticator/

2、limit-login-attempts

这个插件的作用在于用户登录失败超过多少次后，就锁定这个用户名再提交登录请求，同时记录测试的用户名和来源 IP，如果你发现某个IP经常如此，将IP添加到服务器防火墙禁止访问即可。

下载地址：https://wordpress.org/plugins/limit-login-attempts/

最后，提醒大家,程序和数据库一定要定时备份，平时可能用处不大，但关键时候就。。。。 你懂滴。

本文地址: http://liuchuanpeng.com/website-making/525.html