您想阻止和防止对您网站的暴力攻击吗?
在蛮力攻击中,黑客只需尝试数以千计的用户名和密码组合,直到找到正确的组合。
一旦他们闯入您的网站,他们就可以做各种事情,例如添加恶意广告、欺骗您的用户,甚至关闭您的网站。
本教程将向您展示如何阻止和防止暴力攻击,这样黑客就没有机会闯入您的网站。
但在我们进入这些步骤之前,让我们先弄清楚什么是蛮力攻击,以便您在本教程中更好地理解。
什么是蛮力攻击?
当我们说黑客在您的网站上尝试不同的密码组合来登录时,您可能正在想象一个真实的人坐在电脑前输入密码,对吗?
黑客远比这先进得多。他们编写机器人程序来扫描互联网并查找在 WordPress 上运行的网站。然后他们定位到登录页面,通常是 www.example.com/wp-admin。
一旦进入登录页面,这些机器人就会运行一个包含常用用户名和密码的庞大数据库。
- 常见的用户名包括“admin”或网站所有者的姓名。
- 常用密码包括password1234、12345678和qwerty1。
这些黑客机器人能够每分钟运行数千次登录尝试。他们不断地反复尝试,直到他们做对或耗尽他们的数据库。因此称为“蛮力”攻击。
现在您可能认为您所要做的就是设置一个非常强大的密码,问题就解决了。但这还不够。
数以千计的登录尝试会减慢您的网站速度,甚至导致其崩溃。它可能会破坏您的用户体验,这意味着访问者将离开您的网站,因为它的加载速度不够快。
保护您网站的更好方法是阻止黑客进行这些尝试。这就是我们接下来将向您展示的操作。让我们直接潜入。
如何阻止 WordPress 中的蛮力攻击
下面,我们将详细介绍您需要采取的 6 个重要步骤来保护您的网站免受黑客攻击。我们将专注于防止蛮力攻击,但请记住,这些步骤也将有助于阻止其他恶意软件攻击。
您将构建一个强大的安全系统,确保黑客无法从内部或外部破坏您的网站。
步骤 1:安装防火墙插件
防火墙是您的第一道防线。它将分析每个访问您网站的访问者并阻止恶意机器人。这意味着只有良好的流量才能查看您的网站。
您可以使用两种类型的网站防火墙。
- Web 应用程序防火墙:这些防火墙位于您的 WordPress 站点前,用于扫描进入的流量。它们非常有效,但不能为您提供服务器级别的保护。这意味着黑客仍然可以瞄准您的服务器并破坏您的网站。
- DNS 级网站防火墙:该防火墙位于您的服务器前面,可为您提供更好的黑客保护。因此,它会在所有流量到达您的主网站服务器之前对其进行扫描。
我们强烈建议您投资 DNS 防火墙来保护您的站点。Sucuri拥有业内最好的 DNS 防火墙之一。
Sucuri带有内置功能,可以在不影响网站用户的情况下阻止暴力攻击。
它还会阻止用于扫描您网站的自动化工具。这有助于让您的网站远离任何攻击者的视线。
然后它会持续监控您的站点,因此如果任何恶意机器人进入您的站点,它们将被自动阻止。
如果您想了解更多详细信息,请阅读我们的Sucuri 评论。
第 2 步:限制登录尝试
如果您想专门阻止蛮力攻击,最好的方法之一是限制用户尝试登录的次数。
因此,例如,您最多可以允许他们尝试输入正确的用户名和密码 3 次。如果他们未能正确完成,他们可以使用“丢失密码”选项并恢复他们的凭据。
任何试图对您的网站进行暴力破解的用户或机器人将在 3 次尝试后放弃并转向下一个目标。
您可以在 WordPress 站点上添加限制登录尝试插件以添加此功能。如果您使用的是像 Sucuri 这样的安全插件,那么您应该已经将限制登录尝试自动添加到您的站点。
第 2 步:限制访问登录页面
另一种保护您的网站免受暴力攻击的好方法是仅将登录页面 URL 的访问权限授予您信任的人。
每台使用互联网的设备都有一个唯一的 IP 地址。您可以使用安全插件来全面阻止所有 IP 地址访问登录页面,并仅将您想要的 IP 地址列入白名单。
这样只有授权用户才能打开登录页面。这种方法称为许可名单,非常有效地将黑客拒之门外。
如果您使用的是 Sucuri,则在仪表板的访问控制选项卡下,您可以添加列入白名单的 IP 地址。
接下来,切换到安全选项卡。
您将看到一个选项,用于启用“仅限白名单 IP 地址的管理面板”。
通过选中此框,Sucuri 将自动仅允许您信任的用户访问登录页面。
第 4 步:定期使密码过期
不用说,保护 Internet 上任何帐户或网站的最佳方法是使用强用户名和密码。
除此之外,您还需要定期更改密码。如果您怀疑受到攻击,您需要立即更改它。
现在,如果您有多个可以访问 wp-admin 的用户,他们可能不记得定期更改密码。
为了克服这个问题,您可以设置提醒并强制他们每隔一段时间重置密码。
您可以使用像Expire User Passwords这样的插件来帮助您定期使密码过期,从而迫使用户在再次登录之前更改其密码。
步骤 5:添加两因素身份验证
您很可能已经在您的应用程序(尤其是电子邮件)上看到或拥有 2 因素身份验证。
除了输入密码外,您还需要提供一次性密码,该密码会发送到您的手机或电子邮件中。
您可以通过短信或身份验证器应用程序接收此代码。
这意味着用户必须实时验证自己,这使得黑客很难获得访问权限。
即使他们碰巧破解了您的密码,他们也需要实时密码。
所有流行的安全插件(如 Sucuri 和MalCare)都允许您在仪表板内启用 2 因素身份验证。
因此,您无需接触任何编码即可将此度量添加到您的站点。
第 6 步:添加 HTTP 身份验证
您可以采取的保护您的网站免受暴力攻击的最后一步是在您的登录页面中添加一个登录页面。
看起来有点多,但这可以作为额外的保护层,并且是阻止黑客通过蛮力攻击进入您网站的可靠方法。
HTTP 身份验证的工作原理是隐藏您的登录页面并显示一个带有登录框的空白页面。
一旦您输入您的 HTTP 凭据,您的 WordPress 登录页面就会出现。
您可以在托管 cPanel 中添加此度量。如果您以前从未使用过 cPanel,请不要担心。我们将通过几个简单的步骤向您展示如何做到这一点。
登录到您的虚拟主机帐户,访问 cPanel 并找到“目录隐私”。
在里面,从文件夹列表中,找到 wp-admin 文件夹并进行编辑。
在下一页上,首先启用“密码保护此目录”选项。现在 cPanel 会要求您添加用户名和密码。
请确保在退出此页面之前保存您的设置。现在您的 WordPress 管理目录受密码保护。
当您打开 wp-admin 页面时,您会看到一个登录提示,要求输入您刚刚创建的用户名和密码。
如果您遇到 404 错误或太多重定向消息,则需要将以下行添加到 WordPress .htaccess 文件中。
ErrorDocument 401 default
这样,您的网站就可以免受暴力攻击。
我们还建议您定期备份您的网站。当出现问题时,无论是黑客攻击还是人为错误,您都可以快速恢复您的网站并使其恢复正常。这可以让您最大限度地减少对您的网站和用户体验的损害。
您可以使用UpdraftPlus来安排安全存储的自动备份。
