您想保护您的 WordPress 网站免受暴力攻击吗?
暴力攻击可能会减慢您的网站速度、使其无法访问,甚至破解您的密码以在您的网站上安装恶意软件。
在本文中,我们将向您展示如何保护您的 WordPress 网站免受暴力攻击。
![保护 WordPress 免受暴力攻击 保护 WordPress 免受暴力攻击](https://www.wpbeginner.com/wp-content/uploads/2018/08/protect-your-WordPress-site-from-brute-force-attacks-og.png)
什么是暴力攻击?
暴力攻击是一种通过反复试验来侵入网站、网络或计算机系统的黑客方法。
最常见的暴力攻击类型是密码猜测。黑客使用自动化软件不断猜测您的登录信息,以便他们能够访问您的网站。
这些自动黑客工具还可以通过使用不同的IP 地址和位置来伪装自己,这使得识别和阻止可疑活动变得更加困难。
成功的暴力攻击可以让黑客访问您网站的管理区域。他们可以安装恶意软件、窃取用户信息并删除您网站上的所有内容。
即使不成功的暴力攻击也可能会向您的WordPress 托管服务器发送过多的请求,从而导致网站速度减慢甚至完全崩溃,从而造成严重破坏。
话虽这么说,让我们来看看如何保护您的WordPress 网站免受暴力攻击。以下是我们将遵循的步骤:
- 安装 WordPress 防火墙插件
- 安装 WordPress 更新
- 保护 WordPress 管理目录
- 在 WordPress 中添加双因素身份验证
- 使用独特且强的密码
- 禁用目录浏览
- 禁用特定 WordPress 文件夹中的 PHP 文件执行
- 安装并设置 WordPress 备份插件
1.安装WordPress防火墙插件
暴力攻击会给您的服务器带来大量负载。即使不成功,也会降低您的网站速度或使服务器完全崩溃。这就是为什么在它们到达您的服务器之前阻止它们很重要。
为此,您需要一个网站防火墙解决方案。防火墙会过滤掉不良流量并阻止其访问您的站点。
![网站防火墙 网站防火墙](https://www.wpbeginner.com/wp-content/uploads/2021/04/sucuriwaf.jpg)
您可以使用两种类型的网站防火墙:
- 应用程序级防火墙在流量到达您的服务器后但在加载大多数 WordPress 脚本之前对其进行检查。此方法效率不高,因为暴力攻击仍然会影响您的服务器负载。
- DNS 级网站防火墙通过其云代理服务器路由您的网站流量。这使得他们只能将真实流量发送到您的主网络托管服务器,同时提高您的WordPress 速度和性能。
我们建议使用Sucuri。他们是网站安全领域的行业领导者,也是市场上最好的 WordPress 防火墙。由于他们有 DNS 级别的网站防火墙,这意味着您的所有网站流量都会通过他们的代理,不良流量会被过滤掉。
我们在我们的网站上使用Sucuri,您可以阅读我们完整的 Sucuri 评论以了解更多信息。
2.安装WordPress更新
一些常见的暴力攻击会主动针对旧版本 WordPress、流行 WordPress 插件或主题中的已知漏洞。
WordPress 核心和最流行的 WordPress 插件都是开源的,漏洞通常可以通过更新很快得到修复。但是,如果您未能安装更新,那么您的网站就会容易受到这些旧威胁的影响。
只需转到WordPress 管理区域中的仪表板 » 更新页面即可检查可用的更新。此页面将显示您的 WordPress 核心、插件和主题的所有更新。
![WordPress 管理区域中的更新页面 WordPress 管理区域中的更新页面](https://www.wpbeginner.com/wp-content/uploads/2018/08/updatespage.png)
有关更多详细信息,请参阅我们有关如何安全更新 WordPress和正确更新 WordPress 插件的指南。
3.保护WordPress管理目录
大多数对 WordPress 网站的暴力攻击都是试图访问 WordPress 管理区域。您可以在服务器级别的 WordPress 管理目录中添加密码保护。这将阻止对您的 WordPress 管理区域的未经授权的访问。
只需登录您的 WordPress 托管控制面板 (cPanel),然后单击“文件”部分下的“目录隐私”图标即可。
注意:我们在屏幕截图中使用的是Bluehost ,但HostGator等其他顶级托管公司也提供类似的设置。
![cPanel 中的目录隐私 cPanel 中的目录隐私](https://www.wpbeginner.com/wp-content/uploads/2018/08/cpaneldirectoryprotect.png)
接下来,您需要找到 wp-admin 文件夹。
找到它后,您应该单击文件夹名称。
![浏览并找到 wp-admin 文件夹 浏览并找到 wp-admin 文件夹](https://www.wpbeginner.com/wp-content/uploads/2018/08/browsefolder.png)
cPanel现在会要求您提供受限文件夹的名称、用户名和密码。
输入此信息后,单击“保存”按钮来存储您的设置。
![密码保护 WordPress 管理目录 密码保护 WordPress 管理目录](https://www.wpbeginner.com/wp-content/uploads/2018/08/passwordprotect.png)
您的 WordPress 管理目录现已受密码保护。
当您访问 WordPress 管理区域时,您将看到新的登录提示。
![登录提示 登录提示](https://www.wpbeginner.com/wp-content/uploads/2018/08/loginprompt.png)
如果您遇到404 错误或错误太多重定向消息,则需要将以下行添加到 WordPress .htaccess 文件中:
1 | ErrorDocument 401 default |
由
有关更多详细信息,请参阅有关如何使用密码保护 WordPress 管理目录的文章。
4.在WordPress中添加双因素身份验证
双因素身份验证为您的 WordPress 登录屏幕添加了额外的安全层。用户需要使用手机生成一次性密码以及登录凭据才能访问 WordPress 管理区域。
![输入两步验证码 输入两步验证码](https://www.wpbeginner.com/wp-content/uploads/2018/08/backupcode.png)
添加双因素身份验证将使黑客更难获得访问权限,即使他们能够破解您的WordPress 密码。
有关详细的分步说明,请参阅我们有关如何在 WordPress 中添加双因素身份验证的指南。
5.使用独特且强的密码
密码是访问 WordPress 网站或电子商务商店的关键。您需要为所有帐户使用独特的强密码。强密码是数字、字母和特殊字符的组合。
重要的是,您不仅要为您的 WordPress 用户帐户使用强密码,还要为您的FTP 客户端、网络托管控制面板和 WordPress 数据库使用强密码。
许多初学者问我们如何记住所有这些独特的密码。好吧,你不需要。有一些优秀的密码管理器应用程序可以安全地存储您的密码并自动为您填写。
要了解更多信息,请参阅我们的初学者指南,了解管理 WordPress 密码的最佳方法。
6.禁用目录浏览
默认情况下,当您的网络服务器找不到索引文件(例如index.php或index.html)时,它会自动显示一个索引页面,其中显示该目录的内容。
![目录索引 目录索引](https://www.wpbeginner.com/wp-content/uploads/2021/09/directory-index.png)
在暴力攻击期间,黑客可以使用这样的目录浏览来查找易受攻击的文件。要解决此问题,您需要使用FTP 服务在 WordPress .htaccess 文件的底部添加以下行:
1 | Options -Indexes |
由
有关更多详细信息,请参阅有关如何在 WordPress 中禁用目录浏览的文章。
7. 禁用特定 WordPress 文件夹中的 PHP 文件执行
黑客可能想要在您的 WordPress 文件夹中安装并执行 PHP 脚本。WordPress 主要是用 PHP 编写的,这意味着您无法在所有 WordPress 文件夹中禁用它。
但是,有些文件夹不需要任何 PHP 脚本,例如位于 的 WordPress 上传文件夹/wp-content/uploads
。
您可以安全地禁用上传文件夹中的 PHP 执行,这是黑客用来隐藏后门文件的常见位置。
首先,您需要在计算机上打开记事本等文本编辑器并粘贴以下代码:
123 | <Files *.php> deny from all </Files> |
由
现在,将此文件另存为并使用FTP 客户端.htaccess
将其上传到/wp-content/uploads/
您网站上的文件夹。
8. 安装并设置 WordPress 备份插件
备份是 WordPress 安全工具库中最重要的工具。如果一切都失败了,那么备份将允许您轻松恢复您的网站。
大多数WordPress 托管公司提供有限的备份选项。但是,我们无法保证这些备份,并且您自行负责制作自己的备份。
有几个很棒的WordPress 备份插件可让您安排自动备份。
我们建议使用复印机。它适合初学者,允许您快速设置自动备份并将其存储在 Google Drive、Dropbox、Amazon S3、One Drive 等远程位置。
![复印机 复制器 WordPress 备份插件](https://www.wpbeginner.com/wp-content/uploads/2019/01/duplicator-logo-wpb-min.png)
还有一个免费版本的 Duplicator您可以使用它来开始使用。
有关分步说明,您可以按照本指南了解如何使用Duplicator备份 WordPress 网站。
所有上述提示将帮助您保护您的 WordPress 网站免受暴力攻击。要进行更全面的安全设置,您应该按照我们针对初学者的终极 WordPress 安全指南中的说明进行操作。
我们希望本文能帮助您了解如何保护您的 WordPress 网站免受暴力攻击。您可能还想查看有关如何修复被黑 WordPress 网站的指南以及我们专家精选的最佳 WordPress 拖放页面构建器。