保護您的WordPress網(wǎng)站免受蠻力攻擊

無論您是剛接觸WordPress還是經(jīng)驗豐富的開發(fā)人員，您都可能會對網(wǎng)站遭受攻擊的頻率感到驚訝。您可能還想知道是誰或什么人在從事這種活動–更不用說他們?yōu)槭裁匆槍δ恕?/p>

答案很簡單。在大多數(shù)情況下，壞演員是自動機器人。而您之所以成為目標，僅僅是因為您碰巧正在運行WordPress。作為目前最流行的內(nèi)容管理系統(tǒng)（CMS），它直接處于惡意行為者的視線內(nèi)。盡管周圍有各種各樣的攻擊，但暴力攻擊是最受歡迎的攻擊之一。而這恰恰是我們今天的主題。

讓我們看一下什么是蠻力攻擊以及可以更好地保護WordPress網(wǎng)站的一些方法。

什么是蠻力攻擊

我們可以從 維基百科 上看到關于蠻力攻擊的介紹：

蠻力攻擊（英語：Brute-force attack）[1]，又稱為窮舉攻擊（英語：Exhaustive attack）或暴力破解，是一種密碼分析的方法，即將密碼進行逐個推算直到找出真正的密碼為止。

維基百科

在現(xiàn)實世界中，這意味著惡意腳本會反復運行，并在WordPress登錄頁面中輸入用戶名和密碼。每天可能會看到數(shù)百甚至數(shù)千次這樣的嘗試。

當然，如果這完全是隨機的，那么使用這種技術成功登錄網(wǎng)站將非常困難。但是，這些攻擊有時可以起作用的主要原因有兩個：

1. 使用弱登錄憑據(jù)，例如使用超級通用的用戶名和密碼。
2. 使用以前在其他地方泄漏的憑據(jù)。

如果這兩種情況中的任何一種都存在，則會增加成功攻擊的幾率。一旦攻擊者訪問了您的WordPress儀表板，他們便會造成各種破壞。

但是，即使不成功，這些攻擊也可能既煩人又浪費服務器資源。因此，重要的是要制定可以幫助減輕其損害的策略。

反擊的方法

值得慶幸的是，您可以采取許多措施來更好地保護WordPress網(wǎng)站免受暴力攻擊。最基本的做法是建立常識性安全措施，例如使用強密碼和“ admin”以外的任何其他內(nèi)容作為用戶名。僅這些步驟就至少會使您的網(wǎng)站更難以破解。

但是，您可以采取一些更強有力的措施，包括：

限制訪問登錄頁面

根據(jù)您的Web服務器的設置，您可能會考慮阻止對WordPress登錄頁面的訪問，但特定組或IP地址范圍除外。例如，在Apache服務器上，可以通過.htaccess文件完成此操作。

需要注意的是，該策略取決于管理員具有靜態(tài)IP地址。在公司環(huán)境中，可能會是這種情況。但是，其他情況可能會使此方法更加困難。官方的WordPress文檔還有一些進一步的建議，值得一看。

另一種方法是在服務器級別用密碼保護登錄頁面。盡管這帶來了一些不便，但確實有助于確保只有授權用戶才能訪問儀表板。

使用插件

有許多專用于安全的WordPress插件，其中一些提供的功能可以防止暴力攻擊。比如：

Jetpack?的“保護?”功能可阻止不必要的登錄嘗試。（國內(nèi)網(wǎng)站不推薦用 Jetpack，因為某些資源無法在國內(nèi)加載和使用）

Wordfence采用了幾種特定于登錄的措施，例如兩因素身份驗證，reCAPTCHA和暴力保護。還有一個配套插件，專門用于登錄安全性。

Login LockDown是一個旨在限制暴力破解嘗試的插件。在一定數(shù)量的失敗登錄后，它會自動鎖定有問題的IP地址。

iThemes Security? 提供了幾個登錄相關的保護，包括強力保護，雙因素認證和重命名/wp-admin/文件夾的能力，以阻止機器人。

使用CDN /防火墻

內(nèi)容交付網(wǎng)絡（CDN）不僅可以提高您網(wǎng)站的性能，而且還具有阻止惡意機器人與WordPress之間的屏障的作用。

CDN提供程序通常包括阻止IP地址甚至整個國家訪問您的站點（或至少是您的儀表板）的方法。根據(jù)您使用的服務，可能還會有專門針對阻止暴力攻擊的保護措施。

這種方法的優(yōu)點在于，您可以大大減輕Web服務器上的負載。怎么樣？攻擊者在到達您的站點之前已被CDN的防火墻阻止。這就好比在房子前面放一個巨大的蒼蠅拍，在害蟲進入您的前門之前將其拒之門外。

當涉及到安全性時，要積極主動

不幸的是，不采取任何措施來防止暴力登錄是不可行的選擇。這些攻擊無處不在而且毫無情義。而且風景當然不會像它自己那樣會變得更好。因此，應由我們采取預防措施。

幸運的是，這并不困難。上面的選項雖然不是100％完美，但是卻很容易實現(xiàn)。每個人都使普通的機器人更難實現(xiàn)它們的目的。

而且，現(xiàn)在減輕這些攻擊的成本要比以后處理被黑網(wǎng)站的成本低得多。僅憑這一點，就應該積極主動地區(qū)實施防范措施。

我們之前已經(jīng)分享過其他安全方面的教程：

• 如何提高WordPress站點安全？
• WordPress網(wǎng)站如何被黑客入侵
• 增強WordPress安全性的10個Nginx規(guī)則
• 15個有用的WordPress .htaccess 代碼片段
• 15個常用的WordPress wp-config.php 配置代碼
• WordPress文件讀寫權限建議
• WordPress安全管理及防火墻插件：All In One WP Security & Firewall
• 修改WordPress后臺登錄地址，提高安全性
• WordPress安全檢查及修復插件：iThemes Security