WordPress 是互聯網上最著名的 CMS 之一,這意味著它也有其缺點。有許多黑客在 WordPress 中尋找漏洞並使用不同的機制對其進行攻擊。以下是保護您的 WordPress 博客免受暴力攻擊的方法。
WordPress 是最著名的 CMS 之一,世界上大約 35% 的網站都在它上面運行。但這意味著此 CMS 中的任何漏洞都會使全球約 35% 的網站面臨該安全威脅。
利用弱點的方法之一是蠻力攻擊,黑客試圖通過嘗試一些隨機密碼來猜測 WordPress 用戶的密碼。
最近幾天,我在這個博客上遇到了暴力攻擊,並採取了一些預防措施來阻止它。
我使用Jetpack 插件,它帶有一個模塊來阻止暴力攻擊。我注意到 Jetpack 模塊在多次阻止嘗試中顯著增加。
前一天這個數字大約是 3000,突然之間,一夜之間,它已經躍升至 33000。
當我看到為破解密碼付出的努力時,我知道是時候採取一些行動了。
如何阻止對 WordPress 的蠻力攻擊
您可以採取許多預防措施來保護您的 WordPress 網站免受暴力攻擊。因此,請從下面提到的步驟開始,讓您的 WordPress 安裝更加安全。
刪除管理員用戶名
您應該做的第一件事是確保您沒有任何用戶名為「admin」的管理員用戶。聽起來很傻吧?但大多數 WordPress 安裝仍會保留用戶名 admin。
這意味著您讓黑客變得更容易了,因為現在他們只需要猜測密碼。通過查找您的用戶名讓他們做一些額外的工作。
如果您使用 AWS LightSail WordPress 安裝,他們已經將默認用戶名更改為「user」。我仍然建議刪除該帳戶並創建一個不同的管理員用戶帳戶。
通過這種方式,黑客必須尋找用戶名,這將使他們很難入侵您的博客。
您還需要確保用戶名和顯示名稱不同,因為它會破壞目的。黑客可以輕鬆地從顯示名稱中獲取您的用戶名。
我通常建議創建一個單獨的管理員帳戶,不要將該帳戶用於任何其他活動,例如撰寫帖子。這樣就沒有您的管理員用戶名的視覺線索。
有一個強密碼
在任何蠻力攻擊中倖存下來的關鍵是強密碼。
蠻力的想法是通過嘗試多個密碼來猜測用戶密碼。大多數蠻力腳本只是不斷生成密碼並嘗試登錄,直到找到正確的密碼。
因此,強密碼將確保它需要大量時間才能找到它,這可以讓您有時間做出反應。
什麼是強密碼?
強密碼通常很長,包含混合大小寫字母和特殊字元的字母數字。它本質上應該是隨機的,不應基於任何單詞。
它們不應基於任何個人信息,因為這樣很容易猜測。
這是強密碼的示例
你能記住這個密碼嗎?您可以創建和記住多少這樣的密碼?
這就是大多數人遇到問題的地方,他們通常會創建一兩個密碼並將其用於所有登錄。
另一個壞主意,這意味著一旦有人破解了一個密碼,他就可以猜測所有其他登錄的密碼。
因此,如果您確實想保護您的登錄信息,您應該使用任何密碼管理器來創建和記住密碼。這樣,您只需要記住一個密鑰密碼,密碼管理器就會記住所有其他密碼。
1密碼
這是我對密碼管理器的首選。它允許您創建和存儲密碼,您可以定義創建密碼的標準,如長度、特殊字元和數字的數量。
它可以支持多個保管庫,因此您可以組織您的密碼。您還可以在包括 Android 和 iOS 在內的設備上同步您的密碼,它也可以作為大多數瀏覽器的擴展程序使用。
這是確保您的登錄密碼具有唯一性和強密碼的好方法之一。
獲取 Mac 版 獲取 Windows 版
最後通行證
這是另一個很好的密碼管理器,可在大多數平台上使用。它還提供了一種通過雲共享密碼並生成隨機強密碼的方法。
他們為 1 位用戶提供免費版本,高級功能的起價低至每月 2 美元。如果您計劃最多為 6 位家庭成員使用它,它還有一個家庭選項。
獲取 LastPass
使用上述任何密碼管理器,但請確保使用長度至少為 15 個字元且難以猜測的強密碼。
使用 WordPress 角色
對安全的最大威脅之一是過多和未使用的特權。這意味著您的所有用戶都應該只擁有完成工作所需的許可權,而不是一個額外的訪問許可權。它被稱為最小特權原則。
WordPress 帶有用戶角色,您應該確保為您的用戶分配了正確的許可權。有管理員、編輯、作者、貢獻者和訂閱者等角色。
您需要確保許多人沒有您博客的管理員訪問許可權,並且其他作者也分為編輯、作者和貢獻者。
查看此WordPress 支持文章以了解不同角色之間的區別。
默認用戶角色
WordPress 允許人們在您的博客上註冊,因此您需要確保根據您的需要對其進行控制。
您可以在「設置」->「常規」中更改 WordPress 管理儀錶板中的設置
如果您不希望有人來註冊您的博客,您應該取消選擇會員選項。
此外,將新用戶的默認角色更新為訂閱者,這樣他們就沒有任何額外的許可權。一旦您確定您的用戶需要什麼許可權,您可以稍後更改用戶角色。
限制最大登錄失敗次數
蠻力攻擊的一大特徵是失敗的登錄次數過多。黑客嘗試了太多不同的密碼來猜測您的登錄信息,這意味著他們會嘗試多種組合。
您可以限制登錄失敗的次數,以便如果用戶嘗試登錄的次數過多,則會被阻止一段時間。您可以使用 WordPress 插件來完成這項工作。
限制重新載入的登錄嘗試
限制登錄嘗試是完成這項工作的最佳插件,但它並沒有更新很長時間。這個 WordPress 插件負責解決這個問題,它基於原始插件並不斷更新。
該插件允許您定義重試次數和鎖定時間。如果同一 IP 有多個鎖定,您還可以定義鎖定時間的增加。
它還帶有黑名單和白名單 IP 選項,可以在您從同一 IP 獲得多次暴力攻擊的情況下使用。
重新載入限制登錄嘗試
WP 限制登錄嘗試
這是另一個 WordPress 插件,可讓您限制登錄嘗試。除非您購買專業版,否則與之相關的設置並不多。對於免費版本,只需安裝並激活即可保護您的管理員登錄。
默認模式允許 5 次失敗的登錄嘗試,然後將用戶鎖定 10 分鐘。它還會在 3 次登錄嘗試失敗後顯示驗證碼。如果您想更改其中任何一項,則需要購買專業版。
獲取 WP 限制登錄嘗試插件
您可以使用上面提到的任何插件並保護您的博客免受暴力攻擊。
啟用兩因素身份驗證
雙因素身份驗證是消除對密碼完全依賴的好方法之一。這意味著即使您有一個黑客能夠猜到的弱密碼,他們仍然需要訪問額外的安全措施。
在大多數情況下,您的用戶將能夠啟用身份驗證器應用程序,該應用程序將根據已確定的演算法生成令牌。每次從新設備登錄時都需要提供令牌。它將允許您在沒有令牌的情況下從同一設備登錄長達 30 天。
如果您想知道如何為 WordPress 設置兩因素身份驗證,我們為您提供了一個易於使用的指南。請使用我們的雙因素身份驗證 WordPress 設置指南並保護您的安裝。
您的用戶可以安裝諸如 Google Authenticator 或 Microsoft Authenticator 之類的身份驗證器應用程序以獲取額外的安全令牌。這也意味著任何蠻力攻擊現在都需要提供僅在一分鐘內有效的附加參數。因此,對於蠻力攻擊的猜測變得更加困難。
更改 WordPress 登錄 URL
像 WordPress 這樣的 CMS 的主要缺點之一是每個人都知道您網站的基本結構。黑客知道默認的 WordPress 登錄頁面是 WP-Admin,所以他們會去那裡嘗試破解密碼。
這可以通過將登錄 URL 從 wp-admin 更改為您選擇的 URL 來避免。這意味著黑客現在有一項額外的任務,即猜測登錄 URL。
如果您沒有很多用戶或者您自己運行博客,則此策略將有效。如果您允許人們在您的博客上註冊,那麼他們都需要記住 URL,否則您必須提供超鏈接。超鏈接破壞了整個目的,因為黑客可以跟蹤它並要求許多人記住 URL 是不實踐的。
WordPress 存儲庫中有許多插件可以為您完成這項工作。
WPS 隱藏登錄
WPS 隱藏登錄允許您定義登錄 URL 的 slug。它將禁用 wp-admin URL,因此任何登錄的人都會收到一條消息,指出登錄服務被阻止。他們需要知道登錄的 slug 並去那裡登錄。
您可以決定 slug 並將其保留為任何單詞或單片語合。該插件在 Settings -> General 選項卡中添加了一個額外的設置,您可以在其中定義登錄頁面 slug。
確保您選擇的單詞不僅僅是「登錄」,這是插件的默認 slug。讓黑客難以猜測,讓你容易記住。
即使黑客發現了它,您也可以登錄 WordPress 並再次更改它。
獲取 WPS 隱藏登錄
安裝 WordPress 安全插件
那些黑客企圖鮮為人知的日子已經一去不復返了。如今,您必須保護您的博客,否則每個人都會來找它。
WordPress 有許多插件,可讓您保護博客並在發生任何事故時恢復 WordPress 核心文件。其中一些插件帶有防火牆功能,可以阻止來自已知不良 IP 的流量。
安全果汁
Sucuri 不僅是一個安全插件,還是一家致力於為 WordPress 尋找大量漏洞的公司。他們不斷用新的發現更新他們的插件。
他們的插件帶有防火牆功能,允許您在出現任何問題時阻止特定 IP。它還可以保護您免受許多已知的黑客 IP 地址的侵害。
它還會掃描您的 WordPress 安裝,並根據最佳安全實踐提出更改建議。
獲取安全果汁
多合一 WP 安全和防火牆
多合一 WP 安全插件不僅具有防火牆功能,還具有登錄鎖定功能。所以你不必安裝多個插件。
您還可以隱藏管理員登錄頁面,這將使黑客難以攻擊您的網站。這個插件將一些很好的功能整合到一個插件中,所以如果你打算實施多個解決方案,我建議你安裝這個插件。
多合一安全和防火牆
您可以使用這些技巧來保護您的 WordPress 網站免受暴力攻擊。如果您遇到任何有關蠻力攻擊的具體問題,請在評論中告訴我們。
完全披露:這篇文章可能包含附屬鏈接,這意味著如果您點擊其中一個鏈接併購買商品,我們可能會收到傭金(您無需支付額外費用)。我們只超鏈接我們認為為我們的觀眾增加價值的產品。經濟補償對這些產品不起作用。