FTP密码修改后旧密码竟然还能登录?WordPress站长必看的安全排坑指南

admin
admin
admin
379
文章
102
评论
2026年7月9日13:41:35
评论
4
FTP密码修改后旧密码竟然还能登录?WordPress站长必看的安全排坑指南

作为一名WordPress站长,您可能遇到过这样的怪事:明明在服务器管理面板(比如西部数码的网站管理助手)里把FTP密码改得干干净净,可打开FileZilla一测,旧密码居然还能正常连接!新密码能用,旧密码也能用,这岂不是给服务器留了个“后门”?

别慌,这不是什么灵异事件,而是Windows服务器上一个常见却容易被忽略的设置问题。今天这篇文章就带你彻底搞懂原因,并手把手教你解决它。文章末尾还有给WordPress站长的安全锦囊,一定要看完。


一、问题现象:我改我的,它认它的

  • 在“网站管理助手”中修改了FTP账户密码。
  • 用新密码登录FTP——成功。
  • 再用旧密码登录FTP——居然也成功
  • 反复修改多次,旧密码始终有效。

这等于说密码修改操作形同虚设,攻击者如果曾经拿到过旧密码,依然可以长驱直入你的服务器空间,安全隐患极大。


二、根本原因:Windows用户组里的“密码永不过期”在捣鬼

FTP账户在Windows服务器上对应着一个本地系统用户。网站管理助手执行改密时,本质是在修改这个本地用户的登录密码。

但如果该用户在系统用户组中被勾选了 “密码永不过期” ,Windows就不会强制废弃旧密码。新密码会被写入,但旧密码的哈希依然被系统保留并认可,于是出现了新旧密码同时有效的尴尬局面。

西部数码官方也曾有类似说明:这类助手修改的密码有时不会同步到FTP软件,需要手动在FTP工具中更新。这恰恰印证了改密机制存在不彻底的问题。


三、三步解决:取消“永不过期”,让新密码真正生效

下面步骤很简单,跟着做,五分钟搞定(需要远程桌面登录到服务器)。

第1步:打开本地用户和组管理

  • 在服务器桌面按下 Win + R 键,弹出运行窗口。
  • 输入 lusrmgr.msc,然后回车。

第2步:找到对应的FTP用户

  • 在左侧点击“用户”文件夹,右侧会列出所有系统用户。
  • 找到与您FTP账户同名的用户(通常就是站点名或自定义名称)。

第3步:取消“密码永不过期”

  • 右键点击该用户,选择“属性”。
  • 在属性窗口中,找到 “密码永不过期” 复选框。
  • 取消勾选,然后点击“确定”保存。

第4步:重新修改一次FTP密码

  • 回到网站管理助手,再次执行FTP密码修改操作(可以换成全新的强密码)。
  • 这次修改后,旧密码就会彻底失效。

第5步:验证

  • 用FTP软件分别尝试新旧密码登录,确认只有新密码能正常连接。

四、安全锦囊:给WordPress站长的长期建议

既然已经动到了用户策略,不妨顺手把服务器安全加固做到位:

  1. 定期轮换密码
    建议每90天更换一次FTP密码,这是等保和基线检查的基本要求。
  2. 开启密码复杂性策略
    在本地安全策略(secpol.msc)中启用“密码必须符合复杂性要求”,并设置最小长度8位以上。强密码能有效抵御暴力破解。
  3. 及时清理僵尸账户
    不再使用的FTP账户、测试账户,一定要禁用或删除。一个废弃的弱密码账户就是定时炸弹。
  4. 修改前先备份
    如果改密后出现异常,可以快速还原站点数据。建议在操作前通过管理助手备份站点。
  5. 双重验证更安心
    如果服务器支持,建议开启FTP over TLS(加密传输),避免密码在网络中明文传输。

五、常见问题 FAQ

Q:我取消了“密码永不过期”,但新密码还是无效怎么办?
A:可以尝试重启一下FTP服务(或整个IIS服务),再重新修改一次密码。极少数情况下需要删除该用户重新创建(记得先备份站点权限)。

Q:我的服务器是Linux,会出现同样问题吗?
A:不会。Linux的密码管理机制不同,修改即生效。本文仅针对Windows服务器。

Q:我不想用网站管理助手,可以直接在系统里改FTP密码吗?
A:可以,但要注意如果管理助手有自己的用户管理缓存,可能仍需在助手中同步操作。建议统一在助手中修改,并按本文步骤取消“永不过期”。

Q:修改后旧密码还能用,这是不是西部数码的bug?
A:不是bug,是Windows本身的密码策略设计。西部数码的助手只是调用了系统接口,策略优先级更高。所以只要调整策略即可。


六、总结

遇到“改密后旧密码依然有效”的问题,不必慌张,更不要以为是自己操作失误。你只需登录服务器,打开 lusrmgr.msc,找到对应FTP用户,取消“密码永不过期”,然后重新修改一次密码,问题就能彻底解决。

对于WordPress站长而言,FTP安全是网站安全的第一道防线。花几分钟检查并加固这项设置,远比日后被入侵、挂马、勒索要省心得多。希望这篇文章能帮到你,如果你还有其他服务器运维疑问,欢迎在评论区留言,我们一起探讨。

admin
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: