无论你对WordPress还是一个有经验的开发者来说都是新的,你可能会惊讶于你的网站受到攻击的频率。你可能还想知道是谁或是什么在进行这类活动——更不用说他们为什么要攻击你了。
答案很简单。在大多数情况下,坏角色是一个自动化的BOT。而你的目标仅仅是因为你正好在运行WordPress。作为最流行的内容管理系统(CMS),它直接存在于恶意参与者的十字线中。
虽然到处都有各种各样的攻击,但暴力的种类是最受欢迎的,这恰好是我们今天的主题。
让我们黄石网站开发来看看暴力攻击是什么,以及一些方法可以更好地保护你的WordPress网站。
什么是“蛮力”攻击?
暴力攻击,根据Wikipedia :
“……由攻击者提交许多密码或密码,希望最终正确猜测。”
在现实世界中,这意味着恶意脚本反复运行,将用户名和密码输入到WordPress登录页面。
当然,如果这一切都是完全随机的,那么使用这种技术成功登录到网站将是非常困难的,但是有两个主要原因,为什么这些攻击有时可以起作用:
- 使用弱登录凭据,如使用超常用用户名和密码。
- 使用以前在其他地方泄露的凭证。
如果这些方案中的任何一个都到位,这就增加了成功攻击的几率。一旦攻击者访问了你的WordPress仪表板,他们就可以造成各种各样的破坏。
但是即使不成功,这些攻击也可能是服务器资源的恼人和浪费。因此,重要的是要投入。政策可以帮助减轻他们的伤害。
反击的方法
谢天谢地,你可以做很多事情来更好地保护你的WordPress网站免受暴力攻击。最基本的是建立常识。安全措施例如使用强密码和实际上除了“管理员”以外的任何东西作为用户名。这些步骤至少会使你的网站更难破解。
然而,还有一些更强有力的行动可以采取,包括:
限制访问Login Page
根据您的Web服务器的设置,您可能会考虑禁止向WordPress登录页面访问除特定组或IP地址范围之外的所有访问。例如,在Apache服务器上,可以通过访问文件
需要注意的是,这种策略依赖于管理员拥有一个静态IP地址。在企业环境中,这种情况可能会发生。然而,其他情况可能会使这种方法更加困难。官方WordPress文档有一些。进一步建议这值得一看
另一种方法是密码保护在服务器级别的登录页面。虽然这增加了一些不便,但它确实有助于确保只有授权的用户才能访问仪表板。
利用插件
有一些WordPress插件专门用于安全,有几个提供的特性来防止暴力攻击。一些更流行的选项包括:
Jetpack’s "保护“特性”,它将阻止不必要的登录尝试。
字篱笆采用几种登录特定的措施,如双因素认证, reCAPTCHA and蛮力防护还有一个同伴插件只关注登录安全性
登录锁定是一个设计用来限制暴力尝试的插件。它在一组失败的登录后自动锁定攻击IP地址。
主题安全提供几个登录相关的保护,包括蛮力防护 ,双因素认证和能力重命名这个/wp-admin/文件夹,以挫败机器人。
采用CDN/防火墙
内容分发网络(CDNs)不仅改进了性能在你的网站上,它们提供了在恶意机器人和你的WordPress安装之间充当屏障的副作用。
CDN提供商通常包括阻止IP地址甚至整个国家访问您的站点(或者至少是您的仪表板)的方法。根据您使用的服务,也可能有专门针对阻止暴力攻击的保护。
这种方法的优点在于可以显著减轻Web服务器上的负载。如何?攻击者在他们到达你的网站之前被CDN的防火墙阻止。这有点像在你的房子前面有一个巨大的苍蝇拍,在他们到达你的前门之前拒绝害虫。
说到安全,要积极主动。
不幸的是,不采取任何措施来对付蛮力登录不是一个可行的选择。黄石网站开发这些攻击都是无处不在和无情的。而且,风景看起来并不象它自己会变得更好。因此,我们应该采取预防措施。
谢天谢地,这并不难。上面的选项,而不是100%完美,很容易实现。而且每一个都让事情变得更加艰难。
另外,当你想到这一点的时候,减轻这些攻击的相对成本远比稍后要处理一个被黑客攻击的网站要少得多。
