如何保护您的 WordPress 网站免受暴力攻击(分步)

您想保护您的 WordPress 网站免受暴力攻击吗?

蛮力攻击可能会减慢您的网站速度,使其无法访问,甚至破解您的密码以在您的网站上安装恶意软件.

在本文中,我们将向您展示如何保护您的 WordPress 网站免受暴力攻击.

protecting WordPress from brute force attacks

什么是蛮力攻击?

蛮力攻击是一种黑客方法,它使用反复试验来入侵网站、网络或计算机系统.

最常见的蛮力攻击类型是密码猜测.黑客使用自动化软件不断猜测您的登录信息,以便他们可以访问您的网站.

这些自动化黑客工具还可以通过使用不同的 IP 地址和位置来伪装自己,这使得识别和阻止其可疑活动变得更加困难.

成功的蛮力攻击可以让黑客访问您网站的管理区域.他们可以安装恶意软件、窃取用户信息并删除您网站上的所有内容.

即使是不成功的蛮力攻击,也会通过向您的 WordPress 托管服务器发送过多请求、减慢甚至完全崩溃您的网站而造成严重破坏.

话虽如此,让我们来看看如何保护您的 WordPress 网站免受暴力攻击.

1.安装 WordPress 防火墙插件

蛮力攻击会给您的服务器带来大量负载.即使是不成功的网站也会减慢您的网站速度或使服务器完全崩溃.这就是为什么在它们到达您的服务器之前阻止它们很重要的原因.

为此,您需要一个网站防火墙解决方案.防火墙过滤掉不良流量并阻止它访问您的站点.

Website firewall

您可以使用两种类型的网站防火墙.

应用程序级防火墙 – 这些防火墙插件会在流量到达您的服务器后但在加载大多数 WordPress 脚本之前检查流量.这种方法效率不高,因为蛮力攻击仍然会影响您的服务器负载.

DNS 级别网站防火墙 – 这些防火墙通过其云代理服务器路由您的网站流量.这允许他们只将真正的流量发送到您的主网络托管服务器,同时提高您的 WordPress 速度和性能.

我们建议使用 Sucuri.它是网站安全领域的行业领导者,也是市场上最好的 WordPress 防火墙.由于它是 DNS 级别的网站防火墙,这意味着您的所有网站流量都会通过其代理,从而过滤掉不良流量.

我们在我们的网站上使用 Sucuri,您可以阅读我们完整的 Sucuri 评论以了解更多信息.

2.安装 WordPress 更新

一些常见的蛮力攻击会主动针对旧版 WordPress、流行的 WordPress 插件或主题中的已知漏洞.

WordPress 核心和最流行的 WordPress 插件都是开源的,并且漏洞通常会通过更新快速修复.但是,如果您未能安装更新,那么您的网站就容易受到这些旧威胁的攻击.

只需转到仪表板» WordPress 管理区域中的更新页面以检查可用更新.此页面将显示您的 WordPress 核心、插件和主题的所有更新.

Updates page in WordPress admin area

有关更多详细信息,请参阅有关如何安全更新 WordPress 和正确更新 WordPress 插件的指南.

3.保护 WordPress 管理员目录

对 WordPress 站点的大多数蛮力攻击都试图访问 WordPress 管理区域.您可以在服务器级别的 WordPress 管理目录中添加密码保护.这将阻止未经授权访问您的 WordPress 管理区域.

只需登录您的 WordPress 主机控制面板 (cPanel),然后单击"文件"部分下的"目录隐私"图标.

注意:我们在屏幕截图中使用了 Bluehost,但其他顶级托管公司以及 SiteGround、HostGator 等也提供了类似的设置.

Directory privacy in cPanel

接下来,您需要找到 wp-admin 文件夹并单击文件夹名称.

Browse and locate the wp-admin folder

cPanel 现在会要求您提供受限文件夹的名称、用户名和密码.输入此信息后,单击保存按钮以存储您的设置.

Password protect WordPress admin directory

您的 WordPress 管理目录现在受密码保护.当您访问 WordPress 管理区域时,您将看到一个新的登录提示.

Login prompt

如果您遇到 404 错误或错误太多重定向消息,那么您需要将以下行添加到您的 WordPress.htaccess 文件中.

ErrorDocument 401 default

有关更多详细信息,请参阅我们关于如何用密码保护 WordPress 管理目录的文章.

4.在 WordPress 中添加两因素身份验证

双因素身份验证为您的 WordPress 登录屏幕添加了额外的安全层.用户将需要他们的手机生成一次性密码以及登录凭据以访问 WordPress 管理区域.

Enter two-step authentication code

添加双因素身份验证将使黑客更难获得访问权限,即使他们能够破解您的 WordPress 密码.

有关详细的分步说明,请参阅有关如何在 WordPress 中添加双因素身份验证的指南

5.使用唯一且强大的密码

密码是访问您的 WordPress 网站或电子商务商店的关键.您需要为所有帐户使用唯一的强密码.强密码是数字、字母和特殊字符的组合.

重要的是,您不仅要对 WordPress 用户帐户使用强密码,还要对 FTP 客户端、网络托管控制面板和 WordPress 数据库使用强密码.

大多数初学者问我们如何记住所有这些独特的密码?好吧,你不需要.有出色的密码管理器应用程序可以安全地存储您的密码并自动为您填写.

要了解更多信息,请参阅我们的初学者指南,了解管理 WordPress 密码的最佳方法.

6.禁用目录浏览

默认情况下,当您的 Web 服务器找不到索引文件(即 index.php 或 index.html 之类的文件)时,它会自动显示一个显示目录内容的索引页面.

Directory Index

在暴力攻击期间,黑客可以使用目录浏览来查找易受攻击的文件.要解决此问题,您需要使用 FTP 服务在 WordPress.htaccess 文件的底部添加以下行.

Options -Indexes

有关更多详细信息,请参阅我们关于如何在 WordPress 中禁用目录浏览的文章.

7.禁用特定 WordPress 文件夹中的 PHP 文件执行

黑客可能想在您的 WordPress 文件夹中安装和执行 PHP 脚本.WordPress 主要是用 PHP 编写的,这意味着您无法在所有 WordPress 文件夹中禁用它.

但是,有些文件夹不需要任何 PHP 脚本.例如,您的 WordPress 上传文件夹位于/wp-content/uploads.

您可以在上传文件夹中安全地禁用 PHP 执行,这是黑客用来隐藏后门文件的常见位置.

首先,您需要在您的计算机上打开一个文本编辑器(如记事本)并粘贴以下代码:

<Files *.php>
deny from all
</Files>

现在,将此文件另存为.htaccess 并使用 FTP 客户端将其上传到您网站上的/wp-content/uploads/文件夹.

8.安装和设置 WordPress 备份插件

WordPress backup plugins

备份是 WordPress 安全库中最重要的工具.如果所有其他方法都失败了,那么备份将使您能够轻松恢复您的网站.

大多数 WordPress 托管公司提供的备份选项有限.但是,不能保证这些备份,您自己负责制作自己的备份.

有几个很棒的 WordPress 备份插件,可让您安排自动备份.

我们建议使用 UpdraftPlus.它对初学者友好,允许您快速设置自动备份并将它们存储在远程位置,如 Google Drive、Dropbox、Amazon S3 等.

有关分步说明,请参阅我们的指南,了解如何使用 UpdraftPlus 备份和恢复您的 WordPress 网站

上述所有提示将帮助您保护您的 WordPress 网站免受暴力攻击.要获得更全面的安全设置,您应该按照我们面向初学者的终极 WordPress 安全指南中的说明进行操作.

我们希望本文能帮助您了解如何保护您的 WordPress 网站免受暴力攻击.您可能还想了解如何修复被黑的 WordPress 网站以及如何为 WordPress 网站获得免费的 SSL 认证.

9

发表回复