[ad_1]
暴力攻擊對於任何網站所有者來說都是一種普遍現象,也是一場噩夢。 入侵者闖入您的管理區域後,他們可能會劫持您的網站,注入惡意軟體或竊取用戶的個人信息。 因此,值得學習有關WordPress暴力保護以確保您的網站安全的知識。
蠻力攻擊通常是指漫遊器通過測試無數的用戶名和密碼組合來嘗試登錄到您的站點,以期猜測正確的組合。 幸運的是,您可以採取幾種預防措施來破壞此類惡意活動。
本文將討論在網站上實施WordPress暴力保護的五種方法。 讓我們跳進去吧!
WordPress暴力保護策略
這是我們將介紹的五種策略:
通過5種暴力保護策略來保護#WordPress網站安全?????
1.隱藏您的WordPress登錄頁面
您的WordPress登錄頁面 是您每次想要訪問管理儀錶板時輸入憑據的位置。 例如,如果您要登錄yourdomain.com,通常可以訪問yourdomain.com/wp-login.php。 這是WordPress中的默認URL結構,不幸的是,入侵者可以輕鬆猜測。
使黑客的生活更加困難的一種方法是將默認的WordPress登錄URL更改為不太明顯的內容。 但是,我們不建議您手動進行此操作,因為弄亂您的.php文件可能會破壞您的網站(除非您是專家)。
幸運的是,您可以使用諸如 WPS隱藏登錄,這使您無需觸摸任何核心文件即可重命名登錄URL。 您也可以隨時通過停用插件來返回默認設置。
您可以按照我們的 如何使用WPS隱藏登錄頁面的指南隱藏登錄 進行設置。
請注意,僅靠此技術不足以保護您的站點免受暴力攻擊。 但是,結合以下注意事項可以非常有效。
2.向您的站點添加兩因素身份驗證(2FA)
隱藏登錄頁面後,值得添加兩因素身份驗證(2FA)以保護您的網站。 這種方法可以防止未經授權的訪問,這要歸功於用戶在登錄之前必須完成的其他驗證步驟。
例如,假設入侵者掌握了您的憑據。 有了2FA措施,您將擁有一個額外的安全層,可以保護您的站點免遭未經授權的訪問,例如使用通過電子郵件或SMS發送給他們的代碼來確認用戶的身份。 黑客不太可能掌握所有這些詳細信息,從而避免了潛在的入侵。
您可以使用受信任的安全性插件(例如, 迷你橙。 這個方便的工具提供了多種選擇,例如通過文本驗證,QR碼,Google Authenticator應用程序等等。
如果您想了解如何在您的網站上設置2FA,請務必仔細閱讀我們的內容 miniOrange教程,我們將帶您完成所有步驟。
3.安裝WordPress防火牆插件
我們的下一個建議是設置WordPress防火牆插件。 簡而言之,防火牆是一種軟體,可以使用預配置的規則保護您的站點免受未經授權的訪問。
例如,您可以限制可以同時進入您的網站的用戶數量,從而使您免受 分散式拒絕服務(DDoS) 攻擊。 DDoS攻擊試圖破壞您的伺服器,模擬帶寬無法處理的意外流量阻塞。
因此,如果您使用共享託管計劃,則您的網站可能會崩潰,或者您可能會遇到帳戶被暫停的情況。 這可能非常令人沮喪且代價高昂,因此明智的做法是 保護您的網站 從這樣的攻擊。
一些託管服務提供商可能已在其軟體包中包含防火牆服務。 否則,請安裝插件,例如 多合一WP安全性和防火牆 將完成工作。 除了防火牆功能外,此工具還為您提供了其他安全保障,例如,垃圾郵件阻止功能,「登錄鎖定」功能可防止過多的登錄嘗試,等等。
請注意,要使此方法有效,您需要正確配置防火牆。 因此,明智的做法是查閱相關文檔或諮詢您的主機提供商。
4.定期更新WordPress
即使您為站點配備了多個安全插件,但如果您的WordPress安裝已過期,則您的工作可能不會有太大的不同。 實際上,使用舊版本的WordPress核心,主題或插件會打開未修補的安全漏洞,從而使入侵者更容易攻擊您的網站。
WordPress非常受歡迎。 因此,該平檯面臨許多可能損害其安全性的錯誤和黑客。 好消息是開發人員會努力發現這些漏洞,因此每個WordPress更新通常都包含新的安全補丁。 您可以通過管理控制台中的「更新」部分檢查可用的升級:
在對被黑網站的分析中,Sucuri發現有61%[1] 樣本中成功攻擊的發生是由於系統版本過舊。 甚至像 路透社 由於過時的WordPress安裝,已成為惡意攻擊的受害者。 因此,只要有新版本升級就可以利用。
更新WordPress網站和相關工具可能會改善您網站的性能,並 用戶體驗(UX) 由於新功能和系統改進。 但是,如果您擔心 更新您的網站 可能會影響其功能,因此通常可以在發現潛在衝突時將新的主要更新(XX版)延遲30天。 但是,您應該始終立即應用次要安全更新(XXX版)。
而且,總是很聰明 備份您的網站 在繼續進行任何更改之前。
5.選擇一個強大的用戶名和密碼
最後,如果您尚未使用 強密碼 要訪問您網站的管理區域,您可以使黑客的工作更加輕鬆。 此外,如果您在擁有帳戶的每個其他網站上使用相同的詳細信息,則可能會盜竊您的敏感信息,例如個人或銀行詳細信息。
透視事物,高達80%[2] 數據泄露的發生是由於密碼被盜或安全性較弱。 因此,明智的做法是使用WordPress登錄頁面,社交媒體帳戶,電子郵件等所特有的強大憑據。
請記住,您的用戶名和密碼一樣重要。 畢竟,這是另一層安全措施,可以阻止入侵者。 因此,最好避免使用明顯的用戶名(例如「 admin」),因為它們太容易猜測了。
幸運的是,您的登錄詳細信息不必是難以理解的,並且可以由隨機字母和數字組成。 使用長尾難忘的短語 可以一樣有效,只要您避免使用個人信息即可。 此外,您可以使用 密碼管理員 如 最後通行證,這也使您能夠安全地存儲憑據。
立即實施WordPress暴力保護
無論您是經營小型博客還是大型電子商務企業,了解常見的網站安全威脅都是當務之急。 幸運的是,通過一些工具和實踐,WordPress暴力保護相對容易實現。
入門指南:如何保護#WordPress網站免受暴力攻擊???
在本文中,我們討論了保護您的WordPress網站免受暴力攻擊的五大技巧:
- 使用諸如 WPS隱藏登錄 偽裝您的登錄頁面。
- 防止使用2FA進行未經授權的訪問。
- 使用防火牆服務來保護您的站點免受DDoS攻擊並限制登錄嘗試。
- 保持WordPress核心,主題和插件為最新。
- 使用難以猜測且對您的WordPress網站唯一的強大登錄憑據。
有關其他確保您網站安全的方法,請查看我們收集的 有用的WordPress安全提示。
您對WordPress暴力保護有任何疑問嗎? 讓我們在下面的評論部分中知道!
參考文獻
[1] https://blog.sucuri.net/2017/01/hacked-website-report-2016q3.html
[2] https://enterprise.verizon.com/resources/reports/dbir/