[ad_1]
暴力攻击对于任何网站所有者来说都是一种普遍现象,也是一场噩梦。 入侵者闯入您的管理区域后,他们可能会劫持您的网站,注入恶意软件或窃取用户的个人信息。 因此,值得学习有关WordPress暴力保护以确保您的网站安全的知识。
蛮力攻击通常是指漫游器通过测试无数的用户名和密码组合来尝试登录到您的站点,以期猜测正确的组合。 幸运的是,您可以采取几种预防措施来破坏此类恶意活动。
本文将讨论在网站上实施WordPress暴力保护的五种方法。 让我们跳进去吧!
WordPress暴力保护策略
这是我们将介绍的五种策略:
通过5种暴力保护策略来保护#WordPress网站安全?????
1.隐藏您的WordPress登录页面
您的WordPress登录页面 是您每次想要访问管理仪表板时输入凭据的位置。 例如,如果您要登录yourdomain.com,通常可以访问yourdomain.com/wp-login.php。 这是WordPress中的默认URL结构,不幸的是,入侵者可以轻松猜测。
使黑客的生活更加困难的一种方法是将默认的WordPress登录URL更改为不太明显的内容。 但是,我们不建议您手动进行此操作,因为弄乱您的.php文件可能会破坏您的网站(除非您是专家)。
幸运的是,您可以使用诸如 WPS隐藏登录,这使您无需触摸任何核心文件即可重命名登录URL。 您也可以随时通过停用插件来返回默认设置。
您可以按照我们的 如何使用WPS隐藏登录页面的指南隐藏登录 进行设置。
请注意,仅靠此技术不足以保护您的站点免受暴力攻击。 但是,结合以下注意事项可以非常有效。
2.向您的站点添加两因素身份验证(2FA)
隐藏登录页面后,值得添加两因素身份验证(2FA)以保护您的网站。 这种方法可以防止未经授权的访问,这要归功于用户在登录之前必须完成的其他验证步骤。
例如,假设入侵者掌握了您的凭据。 有了2FA措施,您将拥有一个额外的安全层,可以保护您的站点免遭未经授权的访问,例如使用通过电子邮件或SMS发送给他们的代码来确认用户的身份。 黑客不太可能掌握所有这些详细信息,从而避免了潜在的入侵。
您可以使用受信任的安全性插件(例如, 迷你橙。 这个方便的工具提供了多种选择,例如通过文本验证,QR码,Google Authenticator应用程序等等。
如果您想了解如何在您的网站上设置2FA,请务必仔细阅读我们的内容 miniOrange教程,我们将带您完成所有步骤。
3.安装WordPress防火墙插件
我们的下一个建议是设置WordPress防火墙插件。 简而言之,防火墙是一种软件,可以使用预配置的规则保护您的站点免受未经授权的访问。
例如,您可以限制可以同时进入您的网站的用户数量,从而使您免受 分布式拒绝服务(DDoS) 攻击。 DDoS攻击试图破坏您的服务器,模拟带宽无法处理的意外流量阻塞。
因此,如果您使用共享托管计划,则您的网站可能会崩溃,或者您可能会遇到帐户被暂停的情况。 这可能非常令人沮丧且代价高昂,因此明智的做法是 保护您的网站 从这样的攻击。
一些托管服务提供商可能已在其软件包中包含防火墙服务。 否则,请安装插件,例如 多合一WP安全性和防火墙 将完成工作。 除了防火墙功能外,此工具还为您提供了其他安全保障,例如,垃圾邮件阻止功能,“登录锁定”功能可防止过多的登录尝试,等等。
请注意,要使此方法有效,您需要正确配置防火墙。 因此,明智的做法是查阅相关文档或咨询您的主机提供商。
4.定期更新WordPress
即使您为站点配备了多个安全插件,但如果您的WordPress安装已过期,则您的工作可能不会有太大的不同。 实际上,使用旧版本的WordPress核心,主题或插件会打开未修补的安全漏洞,从而使入侵者更容易攻击您的网站。
WordPress非常受欢迎。 因此,该平台面临许多可能损害其安全性的错误和黑客。 好消息是开发人员会努力发现这些漏洞,因此每个WordPress更新通常都包含新的安全补丁。 您可以通过管理控制台中的“更新”部分检查可用的升级:
在对被黑网站的分析中,Sucuri发现有61%[1] 样本中成功攻击的发生是由于系统版本过旧。 甚至像 路透社 由于过时的WordPress安装,已成为恶意攻击的受害者。 因此,只要有新版本升级就可以利用。
更新WordPress网站和相关工具可能会改善您网站的性能,并 用户体验(UX) 由于新功能和系统改进。 但是,如果您担心 更新您的网站 可能会影响其功能,因此通常可以在发现潜在冲突时将新的主要更新(XX版)延迟30天。 但是,您应该始终立即应用次要安全更新(XXX版)。
而且,总是很聪明 备份您的网站 在继续进行任何更改之前。
5.选择一个强大的用户名和密码
最后,如果您尚未使用 强密码 要访问您网站的管理区域,您可以使黑客的工作更加轻松。 此外,如果您在拥有帐户的每个其他网站上使用相同的详细信息,则可能会盗窃您的敏感信息,例如个人或银行详细信息。
透视事物,高达80%[2] 数据泄露的发生是由于密码被盗或安全性较弱。 因此,明智的做法是使用WordPress登录页面,社交媒体帐户,电子邮件等所特有的强大凭据。
请记住,您的用户名和密码一样重要。 毕竟,这是另一层安全措施,可以阻止入侵者。 因此,最好避免使用明显的用户名(例如“ admin”),因为它们太容易猜测了。
幸运的是,您的登录详细信息不必是难以理解的,并且可以由随机字母和数字组成。 使用长尾难忘的短语 可以一样有效,只要您避免使用个人信息即可。 此外,您可以使用 密码管理员 如 最后通行证,这也使您能够安全地存储凭据。
立即实施WordPress暴力保护
无论您是经营小型博客还是大型电子商务企业,了解常见的网站安全威胁都是当务之急。 幸运的是,通过一些工具和实践,WordPress暴力保护相对容易实现。
入门指南:如何保护#WordPress网站免受暴力攻击???
在本文中,我们讨论了保护您的WordPress网站免受暴力攻击的五大技巧:
- 使用诸如 WPS隐藏登录 伪装您的登录页面。
- 防止使用2FA进行未经授权的访问。
- 使用防火墙服务来保护您的站点免受DDoS攻击并限制登录尝试。
- 保持WordPress核心,主题和插件为最新。
- 使用难以猜测且对您的WordPress网站唯一的强大登录凭据。
有关其他确保您网站安全的方法,请查看我们收集的 有用的WordPress安全提示。
您对WordPress暴力保护有任何疑问吗? 让我们在下面的评论部分中知道!
参考文献
[1] https://blog.sucuri.net/2017/01/hacked-website-report-2016q3.html
[2] https://enterprise.verizon.com/resources/reports/dbir/