您想保护您的 WordPress 网站免受暴力攻击吗?
蛮力攻击可以减慢您的网站速度,使其无法访问,甚至破解您的密码以在您的网站上安装恶意软件。
在本文中,我们将向您展示如何保护您的 WordPress 网站免受暴力攻击。
什么是蛮力攻击?
蛮力攻击是一种黑客方法,它使用试错法闯入网站、网络或计算机系统。
最常见的暴力攻击类型是密码猜测。黑客使用自动化软件不断猜测您的登录信息,以便他们可以访问您的网站。
这些自动黑客工具还可以通过使用不同的IP 地址和位置来伪装自己,这使得识别和阻止他们的可疑活动变得更加困难。
成功的蛮力攻击可以让黑客访问您网站的管理区域。他们可以安装恶意软件、窃取用户信息并删除您网站上的所有内容。
即使是不成功的蛮力攻击也可能通过向您的WordPress 托管服务器发送过多请求、减慢甚至完全崩溃您的网站而造成严重破坏。
话虽如此,让我们来看看如何保护您的 WordPress 网站免受暴力攻击。
1.安装WordPress防火墙插件
蛮力攻击会给您的服务器带来大量负载。即使是不成功的,也会减慢您的网站速度或使服务器完全崩溃。这就是为什么在它们到达您的服务器之前阻止它们很重要的原因。
为此,您需要一个网站防火墙解决方案。防火墙过滤掉不良流量并阻止它访问您的站点。
您可以使用两种类型的网站防火墙。
应用程序级防火墙——这些防火墙插件在流量到达您的服务器但在加载大多数 WordPress 脚本之前检查流量。这种方法效率不高,因为蛮力攻击仍然会影响您的服务器负载。
DNS 级网站防火墙- 这些防火墙通过其云代理服务器路由您的网站流量。这允许他们只向您的主要网络托管服务器发送真正的流量,同时提高您的WordPress 速度和性能。
我们建议使用Sucuri。它是网站安全的行业领导者和市场上最好的 WordPress 防火墙。由于它是 DNS 级别的网站防火墙,这意味着您的所有网站流量都通过他们的代理过滤掉不良流量。
我们在我们的网站上使用Sucuri,您可以阅读我们完整的 Sucuri 评论以了解更多信息。
2. 安装 WordPress 更新
一些常见的暴力攻击主动针对旧版本 WordPress、流行的 WordPress 插件或主题中的已知漏洞。
WordPress 核心和最流行的 WordPress 插件都是开源的,漏洞通常通过更新很快得到修复。但是,如果您未能安装更新,那么您的网站就会容易受到这些旧威胁的攻击。
只需转到WordPress 管理区域中的仪表板 » 更新页面以检查可用更新。此页面将显示您的 WordPress 核心、插件和主题的所有更新。
有关更多详细信息,请参阅我们关于如何安全更新 WordPress和正确更新 WordPress 插件的指南。
3. 保护 WordPress 管理员目录
对WordPress 网站的大多数暴力攻击都试图访问 WordPress 管理区域。您可以在服务器级别的 WordPress 管理目录中添加密码保护。这将阻止未经授权访问您的 WordPress 管理区域。
只需登录到您的 WordPress 主机控制面板 (cPanel),然后单击“文件”部分下的“目录隐私”图标。
注意:我们在屏幕截图中使用了Bluehost,但其他顶级托管公司以及SiteGround、HostGator等也提供了类似的设置。
接下来,您需要找到 wp-admin 文件夹并单击文件夹名称。
cPanel现在将要求您提供受限文件夹的名称、用户名和密码。输入此信息后,单击保存按钮以存储您的设置。
您的 WordPress 管理目录现在受密码保护。当您访问 WordPress 管理区域时,您将看到一个新的登录提示。
如果您遇到404 错误或错误太多重定向消息,那么您需要将以下行添加到您的 WordPress .htaccess 文件中。
ErrorDocument 401 default
有关更多详细信息,请参阅我们关于如何密码保护 WordPress 管理员目录的文章。
4.在WordPress中添加双重身份验证
双重身份验证为您的 WordPress 登录屏幕添加了额外的安全层。用户将需要他们的手机生成一次性密码以及他们的登录凭据才能访问 WordPress 管理区域。
添加双重身份验证将使黑客更难获得访问权限,即使他们能够破解您的WordPress 密码。
有关详细的分步说明,请参阅我们的指南,了解如何在 WordPress 中添加双重身份验证
5. 使用唯一且强密码
密码是访问您的 WordPress 网站或电子商务商店的关键。您需要为所有帐户使用唯一的强密码。强密码是数字、字母和特殊字符的组合。
不仅要为 WordPress 用户帐户使用强密码,还要为FTP 客户端、网络托管控制面板和 WordPress 数据库使用强密码,这一点很重要。
大多数初学者问我们如何记住所有这些唯一的密码?好吧,你不需要。有一些优秀的密码管理器应用程序可以安全地存储您的密码并自动为您填写。
要了解更多信息,请参阅我们的初学者指南,了解管理 WordPress 密码的最佳方法。
6.禁用目录浏览
默认情况下,当您的 Web 服务器没有找到索引文件(例如 index.php 或 index.html 之类的文件)时,它会自动显示一个显示目录内容的索引页面。
在蛮力攻击期间,黑客可以使用目录浏览来查找易受攻击的文件。要解决此问题,您需要使用FTP 服务在 WordPress .htaccess 文件的底部添加以下行。
Options -Indexes
有关更多详细信息,请参阅我们关于如何在 WordPress 中禁用目录浏览的文章。
7. 在特定的 WordPress 文件夹中禁用 PHP 文件执行
黑客可能想要在您的 WordPress 文件夹中安装和执行 PHP 脚本。WordPress 主要是用 PHP 编写的,这意味着您不能在所有 WordPress 文件夹中禁用它。
但是,有些文件夹不需要任何 PHP 脚本。例如,您的 WordPress 上传文件夹位于 /wp-content/uploads。
您可以在上传文件夹中安全地禁用 PHP 执行,这是黑客用来隐藏后门文件的常见位置。
首先,您需要在计算机上打开一个文本编辑器,例如记事本,然后粘贴以下代码:
现在,将此文件保存为 .htaccess 并使用FTP 客户端将其上传到您网站上的 /wp-content/uploads/ 文件夹。
8. 安装和设置 WordPress 备份插件
备份是 WordPress 安全库中最重要的工具。如果一切都失败了,那么备份将使您能够轻松地恢复您的网站。
大多数WordPress 托管公司提供有限的备份选项。但是,这些备份无法得到保证,您应自行负责制作自己的备份。
有几个很棒的WordPress 备份插件,可让您安排自动备份。
我们建议使用UpdraftPlus。它对初学者很友好,允许您快速设置自动备份并将它们存储在远程位置,如 Google Drive、Dropbox、Amazon S3 等。
有关分步说明,请参阅我们的指南,了解如何使用 UpdraftPlus 备份和恢复您的 WordPress 网站
所有上述提示将帮助您保护您的 WordPress 网站免受暴力攻击。要进行更全面的安全设置,您应该按照我们针对初学者的终极 WordPress 安全指南中的说明进行操作。
我们希望本文能帮助您了解如何保护您的 WordPress 网站免受暴力攻击。您可能还想了解如何修复被黑的 WordPress 网站以及如何获得 WordPress 网站的免费 SSL 认证。