应对WordPress暴力攻击的八大对策

自学咖网努力为各位打造免费分享知识与教程网站

暴力攻击是一种通过反复试验来尝试解锁受密码保护的网页的方法。劫持者使用精密的机器人猜测登录、注册和其他页面表格上的用户名和密码,并试图接管网站。机器人不断试图猜测凭证,并在您的服务器上增加大量负载。

因此,即使不考虑安全性,也必须停止这些机器人/用户,以减轻托管服务器的负载。在本文中,我们来讨论如何在WordPress中防止暴力攻击。

停止WordPress中的暴力攻击

在WordPress中有不同的方法来保护你的登陆页面和阻止暴力攻击。但是,您需要一个插件来启用这些功能。在本文中,我们将主要使用Jetpack和All In One WP安全和防火墙插件。

有时你的主机公司可能会为此提供一个专用的插件。例如,在使用SiteGround托管时,可以使用SiteGround安全插件。

1.使用Jetpack插件来防止暴力

Jetpack提供了很多模块,“安全”是防止暴力攻击的模块之一。

进入管理面板中的Jetpack >设置菜单。

当您进入“安全”部分时,向下滚动并激活“保护”模块。

自学咖网努力为各位打造免费分享知识与教程网站

在Jetpack中启用暴力攻击保护

启用后,Jetpack将自动保护您的网站,登录表单上没有任何可见的验证码。

此外,您可以点击“保护”选项,并添加一个IP地址列表,以允许访问您的登录页面。该插件只允许列出的IP地址访问你的WordPress登录页面,所有其他IP地址将被阻止登录到管理仪表板。

自学咖网努力为各位打造免费分享知识与教程网站

Jetpack中的白名单IP

2.使用一体式WP安全和防火墙插件来防止暴力

Jetpack的暴力预防非常简单,没有太多其他选择。一个WP安全和防火墙插件是一个受欢迎的免费安全插件,它有助于有效地保护你的WordPress网站。从你的WordPress仪表盘安装并激活插件。它将在管理面板的侧边栏上创建一个新菜单“WP安全”。

自学咖网努力为各位打造免费分享知识与教程网站

搜索所有在一个WP安全和防火墙插件

这个插件用点数来衡量你的网站的安全性,激活各种安全选项会增加点数。为了防止暴力开心,请导航到“WP安全>暴力”部分查看一些选项,如下所示:

自学咖网努力为各位打造免费分享知识与教程网站

暴力攻击防范选项

在使用任何安全设置进行处理之前,请确保满足以下条件:

使用站点文件和数据库来备份整个站点。该插件将创建数据库表和修改网站文件,如。htaccess。

确保您可以通过FTP访问您的主机服务器。当您被锁定在管理控制面板之外并且无法登录时,这是恢复文件所必需的。

仅当该选项适用且您需要时,才启用它。

我们将在接下来的章节中解释这个插件的其他可用选项。

3.重命名登录页面。

传递后缀“/wp-admin/”或“/wp-login.php?Action=login”到你的站点,你可以很容易地访问WordPress登录页面。因为任何人都可以使用其中一个URL访问您的网站,所以防止暴力的第一步是重命名登录页面。选中“启用重命名登录功能”框,并提供难以猜测的所需字符串。

自学咖网努力为各位打造免费分享知识与教程网站

重命名WordPress登录页面

例如,如果要将登录页面URL更改为“yoursite.com/login/”,请在文本框中输入单词“login”。

重命名登录页面会将您注销,您需要使用新的URL再次登录。

此功能将影响所有用户,因此如果您已经注册用户或需要注册才能在您的网站上发表评论,请不要激活它。

该特性将影响使用默认登录页面的任何其他插件的功能。

4.基于Cookie的暴力预防

防止暴力攻击的下一个选择是基于浏览器上可用的cookie。启用“启用暴力攻击防护”复选框,并在下一个“密码”文本框中提供密码。

自学咖网努力为各位打造免费分享知识与教程网站

WordPress中基于Cookie的暴力登录防护

比如要添加密码为“test”,登录网址就会是“http://yoursite.com/?”测试=1英寸.可以放“/?Secret-word=1 “添加到您的网站URL,以访问登录页面。此外,您可以设置“重定向URL”将未授权用户重定向到此页面。通常,您可以将其设置为本地主机IP地址“http://127.0.0.1”以防止服务器负载。如果您有受密码保护的页面,请启用“我的网站有受密码保护的文章或页面”复选框。

如果您有一个使用Ajax的主题或插件,启用复选框“我的站点有一个使用Ajax的主题或插件”。通常大多数主题和插件都使用Ajax,所以你应该启用这个选项并测试你的站点是否正确加载。

这种方法类似于重命名登录页面,因此上述所有警告也适用于这种方法。

因为“重命名登录页面”和“基于cookie的暴力预防”方法都会更改登录页面URL,所以您可以在您的站点上一次使用其中一种方法。

5.登录验证码

由于前两个选项会影响多用户环境,例如具有登录、注册和电子商务功能的网站,因此仅启用验证码是您可以用来阻止暴力攻击的最简单方法之一。在此部分,您有三个选项来启用表单上的数学验证码:

给默认的WordPress登录页面添加一个验证码。

在使用WordPress功能“wp_login_form()”的网站上使用的所有表单上启用验证码。

启用丢失密码申请表上的验证码。

自学咖网努力为各位打造免费分享知识与教程网站

所有WP安全插件中登录验证码的设置

6.登录白名单

类似于Jetpack的白名单管理,All in One WP Security & Firewall插件也提供了“登录白名单”选项。这将只允许列出的IP地址访问你的WordPress登录页面,而所有其他的IP地址将被阻止。

自学咖网努力为各位打造免费分享知识与教程网站

使用All in One WP安全插件设置登录IP白名单。

7.蜜罐保护

最后一个选项是启用“在登录页面启用蜜罐”。这将在登录表单上设置一个新字段,人类用户不可见,只有机器人可见。由于机器人用于填写登录表单上的所有字段,如果隐藏字段被填写,插件将停止访问。因此,有效地停止机器人是有帮助的。

自学咖网努力为各位打造免费分享知识与教程网站

WordPress登录页面的蜜罐设置

8.限制登录尝试。

限制登录尝试是防止暴力攻击WordPress的主要解决方案。所有一个WP安全插件也有限制登录尝试次数的选项。但是,如果你不想使用沉重的插件,你可以使用专门的插件来限制登录尝试。例如,您可以使用限制登录尝试来重新加载插件,以配置任何人可以尝试登录的允许尝试次数。如果达到限制,插件将截取IP地址并通知管理员。这样,您可以允许合法用户登录,同时在多次尝试后阻止自动机器人。

总结

在一个WP安全和防火墙插件提供了一个详细的方法来保护你的WordPress网站。虽然这看起来很吸引人,但是一定要测试每个特性,并且只在你的站点需要的时候使用它。重命名登录页面,基于cookie的选项和IP白名单可以用于个人用户网站,无需用户注册。剩下的选项,比如启用登录验证码和蜜罐,可以在所有类型的网站上使用,没有任何问题。你也可以同时使用“Jetpack”和“All in One WP Security & Firewall”插件来阻止对你网站的暴力攻击。

hmoban主题是根据ripro二开的主题,极致后台体验,无插件,集成会员系统
自学咖网 » 应对WordPress暴力攻击的八大对策