应对WordPress暴力攻击的八大对策
暴力攻击是一种通过反复试验来尝试解锁受密码保护的网页的方法。劫持者使用精密的机器人猜测登录、注册和其他页面表格上的用户名和密码,并试图接管网站。机器人不断试图猜测凭证,并在您的服务器上增加大量负载。
因此,即使不考虑安全性,也必须停止这些机器人/用户,以减轻托管服务器的负载。在本文中,我们来讨论如何在WordPress中防止暴力攻击。
停止WordPress中的暴力攻击
在WordPress中有不同的方法来保护你的登陆页面和阻止暴力攻击。但是,您需要一个插件来启用这些功能。在本文中,我们将主要使用Jetpack和All In One WP安全和防火墙插件。
有时你的主机公司可能会为此提供一个专用的插件。例如,在使用SiteGround托管时,可以使用SiteGround安全插件。
1.使用Jetpack插件来防止暴力
Jetpack提供了很多模块,“安全”是防止暴力攻击的模块之一。
进入管理面板中的Jetpack >设置菜单。
当您进入“安全”部分时,向下滚动并激活“保护”模块。
在Jetpack中启用暴力攻击保护
启用后,Jetpack将自动保护您的网站,登录表单上没有任何可见的验证码。
此外,您可以点击“保护”选项,并添加一个IP地址列表,以允许访问您的登录页面。该插件只允许列出的IP地址访问你的WordPress登录页面,所有其他IP地址将被阻止登录到管理仪表板。
Jetpack中的白名单IP
2.使用一体式WP安全和防火墙插件来防止暴力
Jetpack的暴力预防非常简单,没有太多其他选择。一个WP安全和防火墙插件是一个受欢迎的免费安全插件,它有助于有效地保护你的WordPress网站。从你的WordPress仪表盘安装并激活插件。它将在管理面板的侧边栏上创建一个新菜单“WP安全”。
搜索所有在一个WP安全和防火墙插件
这个插件用点数来衡量你的网站的安全性,激活各种安全选项会增加点数。为了防止暴力开心,请导航到“WP安全>暴力”部分查看一些选项,如下所示:
暴力攻击防范选项
在使用任何安全设置进行处理之前,请确保满足以下条件:
使用站点文件和数据库来备份整个站点。该插件将创建数据库表和修改网站文件,如。htaccess。
确保您可以通过FTP访问您的主机服务器。当您被锁定在管理控制面板之外并且无法登录时,这是恢复文件所必需的。
仅当该选项适用且您需要时,才启用它。
我们将在接下来的章节中解释这个插件的其他可用选项。
3.重命名登录页面。
传递后缀“/wp-admin/”或“/wp-login.php?Action=login”到你的站点,你可以很容易地访问WordPress登录页面。因为任何人都可以使用其中一个URL访问您的网站,所以防止暴力的第一步是重命名登录页面。选中“启用重命名登录功能”框,并提供难以猜测的所需字符串。
重命名WordPress登录页面
例如,如果要将登录页面URL更改为“yoursite.com/login/”,请在文本框中输入单词“login”。
重命名登录页面会将您注销,您需要使用新的URL再次登录。
此功能将影响所有用户,因此如果您已经注册用户或需要注册才能在您的网站上发表评论,请不要激活它。
该特性将影响使用默认登录页面的任何其他插件的功能。
4.基于Cookie的暴力预防
防止暴力攻击的下一个选择是基于浏览器上可用的cookie。启用“启用暴力攻击防护”复选框,并在下一个“密码”文本框中提供密码。
WordPress中基于Cookie的暴力登录防护
比如要添加密码为“test”,登录网址就会是“http://yoursite.com/?”测试=1英寸.可以放“/?Secret-word=1 “添加到您的网站URL,以访问登录页面。此外,您可以设置“重定向URL”将未授权用户重定向到此页面。通常,您可以将其设置为本地主机IP地址“http://127.0.0.1”以防止服务器负载。如果您有受密码保护的页面,请启用“我的网站有受密码保护的文章或页面”复选框。
如果您有一个使用Ajax的主题或插件,启用复选框“我的站点有一个使用Ajax的主题或插件”。通常大多数主题和插件都使用Ajax,所以你应该启用这个选项并测试你的站点是否正确加载。
这种方法类似于重命名登录页面,因此上述所有警告也适用于这种方法。
因为“重命名登录页面”和“基于cookie的暴力预防”方法都会更改登录页面URL,所以您可以在您的站点上一次使用其中一种方法。
5.登录验证码
由于前两个选项会影响多用户环境,例如具有登录、注册和电子商务功能的网站,因此仅启用验证码是您可以用来阻止暴力攻击的最简单方法之一。在此部分,您有三个选项来启用表单上的数学验证码:
给默认的WordPress登录页面添加一个验证码。
在使用WordPress功能“wp_login_form()”的网站上使用的所有表单上启用验证码。
启用丢失密码申请表上的验证码。
所有WP安全插件中登录验证码的设置
6.登录白名单
类似于Jetpack的白名单管理,All in One WP Security & Firewall插件也提供了“登录白名单”选项。这将只允许列出的IP地址访问你的WordPress登录页面,而所有其他的IP地址将被阻止。
使用All in One WP安全插件设置登录IP白名单。
7.蜜罐保护
最后一个选项是启用“在登录页面启用蜜罐”。这将在登录表单上设置一个新字段,人类用户不可见,只有机器人可见。由于机器人用于填写登录表单上的所有字段,如果隐藏字段被填写,插件将停止访问。因此,有效地停止机器人是有帮助的。
WordPress登录页面的蜜罐设置
8.限制登录尝试。
限制登录尝试是防止暴力攻击WordPress的主要解决方案。所有一个WP安全插件也有限制登录尝试次数的选项。但是,如果你不想使用沉重的插件,你可以使用专门的插件来限制登录尝试。例如,您可以使用限制登录尝试来重新加载插件,以配置任何人可以尝试登录的允许尝试次数。如果达到限制,插件将截取IP地址并通知管理员。这样,您可以允许合法用户登录,同时在多次尝试后阻止自动机器人。
总结
在一个WP安全和防火墙插件提供了一个详细的方法来保护你的WordPress网站。虽然这看起来很吸引人,但是一定要测试每个特性,并且只在你的站点需要的时候使用它。重命名登录页面,基于cookie的选项和IP白名单可以用于个人用户网站,无需用户注册。剩下的选项,比如启用登录验证码和蜜罐,可以在所有类型的网站上使用,没有任何问题。你也可以同时使用“Jetpack”和“All in One WP Security & Firewall”插件来阻止对你网站的暴力攻击。