黑客如何通过我的.htaccess文件？

Question

我在共享主机上运行一个自托管的WordPress网站。我具有以下安全设置：

服务器上/ www /目录中的
• WordPress文件。 / www / dir上有755个权限。
• wp-config.php设置为440
• 复杂的用户名（即非管理员）
• 复杂密码
• 正在使用2FA
/ www /中的
• .htaccess文件（.htaccess权限644）
• / stuff /中的.htpasswds文件（与/ www /相同的目录； / stuff / 755权限； .htpasswds权限644）

---

#htaccess contents 
<Files wp-login.php>
AuthUserFile /path/to/.htpasswds/which/is/outside/of/www/
AuthName "Private access"
AuthType Basic
require user tref18
Satisfy All
</Files>

---

#.htpasswds contents
tref18:[a hash?]

这是我登录到管理面板的过程：

• 我转到mydomain.com/wp-login.php
• 弹出式菜单向我挑战，.htaccess的原因，等等。我输入了用户名和密码。
• 我进入wp-login.php，在其中输入了WordPress管理员用户/密码。
• 2FA向我发送了一封带图钉的电子邮件，我将其插入其中。这使我进入管理面板。

一切正常，据我所知，没有人入侵过我的网站。

但是，我仍然从尝试登录我的网站的2FA插件（https://wordpress.org/plugins/loginizer/）中获得报告。

到目前为止，他们没有使用正确的用户名，等等。

但是我的问题是：人们如何克服.htaccess挑战？

我已经弄乱了.htaccess和.htpasswds文件的权限，但是目录750和/或文件640的权限使我无法克服进入wp-login.php的挑战。人们能够破解.htpasswds中的哈希吗？

感谢您的帮助和指导！

Answer 1

有很多黑帽seo软件和其他工具可以绕过Internet证券和验证码...

如果您希望此操作停止，请将您的管理员登录页面更改为只有您知道的链接。机器人无法仿效...

https://themeisle.com/blog/change-wordpress-login-page-url/