You are here:  Home » PHP » 如何保护您的WordPress网站免受暴力攻击(逐步)

你想保护你的WordPress网站免受暴力攻击吗?这些攻击可能会降低您的网站速度,使其无法访问,甚至破解您的密码以在您的网站上安装恶意软件。在本文中,我们将向您展示如何保护您的WordPress网站免受暴力攻击。

protecting WordPress from brute force attacks

什么是蛮力攻击?

暴力攻击是一种黑客攻击方法,它利用反复试验技术闯入网站,网络或计算机系统。

黑客使用自动化软件向目标系统发送大量请求。对于每个请求,这些软件都会尝试猜测访问所需的信息,如密码或密码。

这些工具还可以通过使用不同的IP地址和位置来伪装自己,这使得目标系统更难以识别和阻止这些可疑活动。

成功的暴力攻击可以让黑客访问您网站的管理区域。他们可以安装后门程序,恶意软件,窃取用户信息以及删除您网站上的所有内容。

即使是不成功的强力攻击也可能通过发送太多请求来肆虐,这会降低WordPress托管服务器的速度甚至崩溃。

话虽这么说,让我们来看看如何保护你的WordPress网站免受暴力攻击。

步骤1.安装WordPress防火墙插件

暴力攻击会给您的服务器带来很大的负担。即使是不成功的也会使您的网站变慢或完全崩溃服务器。这就是为什么在它们到达您的服务器之前阻止它们很重要。

为此,您需要一个网站防火墙解决方案。防火墙会过滤掉不良流量并阻止其访问您的网站。

How website firewall works

您可以使用两种类型的网站防火墙。

应用级防火墙 – 这些防火墙插件一旦到达您的服务器但在加载大多数WordPress脚本之前检查流量。此方法效率不高,因为暴力攻击仍会影响您的服务器负载。

DNS级别网站防火墙 – 这些防火墙通过其云代理服务器路由您的网站流量。这使他们只能向您的主Web托管服务器发送正版流量,同时提高您的WordPress速度和性能。

我们建议使用Sucuri。它是网站安全领域的行业领导者,也是市场上最好的WordPress防火墙。由于它是DNS级别的网站防火墙,这意味着您的所有网站流量都会通过其代理,过滤掉流量不足的流量。

我们在我们的网站上使用Sucuri,您可以阅读我们完整的Sucuri评论以了解更多信息。

步骤2.安装WordPress更新

一些常见的暴力攻击主动针对旧版WordPress,流行的WordPress插件或主题中的已知漏洞。

WordPress核心和最流行的WordPress插件是开源的,并且通常会在更新时快速修复漏洞。但是,如果您未能安装更新,则会使您的网站容易受到这些旧威胁的攻击。

简单地去吧仪表板»更新WordPress管理区域中的页面,以检查可用的更新。此页面将显示您的WordPress核心,插件和主题的所有更新。

Updates page in WordPress admin area

有关更多详细信息,请参阅有关如何正确更新WordPress插件的指南。

步骤3.保护WordPress管理目录

对WordPress网站的大多数暴力攻击都试图访问WordPress管理区域。您可以在服务器级别的WordPress管理目录中添加密码保护。这将阻止未经授权访问您的WordPress管理区域。

只需登录您的WordPress主机控制面板(cPanel),然后单击“文件”部分下的“目录隐私”图标。

注意:我们在截图中使用了Bluehost,但其他顶级托管公司也提供类似设置,如SiteGround,HostGator等。

Directory privacy in cPanel

接下来,您需要找到wp-admin文件夹并单击文件夹名称。

Browse and locate the wp-admin folder

cPanel现在将要求您提供受限文件夹,用户名和密码的名称。输入此信息后,单击“保存”按钮以存储设置。

Password protect WordPress admin directory

您的WordPress管理目录现在受密码保护。当您访问WordPress管理区域时,您将看到一个新的登录提示。

Login prompt

如果遇到404错误或错误太多重定向消息,则需要将以下行添加到WordPress .htaccess文件中。

ErrorDocument 401 default

有关更多详细信息,请参阅有关如何使用密码保护WordPress管理目录的文章。

步骤4.在WordPress中添加双因素身份验证

双因素身份验证为您的WordPress登录屏幕添加了额外的安全层。基本上,用户需要他们的手机生成一次性密码及其登录凭据才能访问WordPress管理区域。

Enter two-step authentication code

添加双因素身份验证将使黑客更难获得访问权限,即使他们能够破解您的WordPress密码。

有关详细的分步说明,请参阅我们的指南,了解如何在WordPress中添加双因素身份验证

步骤5.使用唯一的强密码

密码是访问您的WordPress网站的关键。您需要为所有帐户使用唯一的强密码。强密码是数字,字母和特殊字符的组合。

重要的是,您不仅要为WordPress用户帐户使用强密码,还要为FTP,Web托管控制面板和WordPress数据库使用强密码。

大多数初学者问我们如何记住所有这些独特的密码?好吧,你不需要。有很好的密码管理器应用程序可以安全地存储您的密码并自动为您填写。

要了解更多信息,请参阅我们的初学者指南,了解管理WordPress密码的最佳方法。

步骤6.禁用目录浏览

默认情况下,当您的Web服务器找不到索引文件(即index.php或index.html等文件)时,它会自动显示一个显示目录内容的索引页。

Directory index

暴力攻击期间,黑客可以使用目录浏览来查找易受攻击的文件。要解决此问题,您需要在WordPress .htaccess文件的底部添加以下行。

Options -Indexes

有关更多详细信息,请参阅有关如何在WordPress中禁用目录浏览的文章。

步骤7.在特定的WordPress文件夹中禁用PHP文件执行

黑客可能希望在WordPress文件夹中安装和执行PHP脚本。 WordPress主要用PHP编写,这意味着你无法在所有WordPress文件夹中禁用它。

但是,有些文件夹不需要任何PHP脚本。例如,您的WordPress上传文件夹位于/ wp-content / uploads。

你可以在uploads文件夹中安全地禁用PHP执行,这是黑客用来隐藏后门文件的常见地方。

首先,您需要在计算机上打开文本编辑器(如记事本)并粘贴以下代码:

<Files *.php>
deny from all
</Files>

现在,将此文件另存为.htaccess,并使用FTP客户端将其上传到您网站上的/ wp-content / uploads /文件夹

步骤8.安装并设置WordPress Backup插件

WordPress backup plugins

备份是WordPress安全库中最重要的工具。如果所有其他方法都失败了,那么备份将允许您轻松恢复您的网站。

大多数WordPress托管公司提供有限的备份选项。但是,这些备份无法保证,您自行负责进行自己的备份。

有几个很棒的WordPress备份插件,允许您安排自动备份。

我们建议使用UpdraftPlus。它是初学者友好的,允许您快速设置自动备份并将其存储在远程位置,如Google Drive,Dropbox,Amazon S3等。

有关分步说明,请参阅有关如何使用UpdraftPlus备份和还原WordPress站点的指南

所有上述提示将帮助您保护您的WordPress网站免受暴力攻击。要获得更全面的安全设置,您应该按照我们针对初学者的终极WordPress安全指南中的说明进行操作。

我们希望本文能帮助您了解如何保护您的WordPress网站免受暴力攻击。您可能还想了解您的WordPress被黑客入侵的迹象以及如何修复被黑客入侵的WordPress网站。

评论被关闭。