暴力攻击是一种常见现象,也是任何网站所有者的噩梦。一旦入侵者闯入您的管理区域,他们可能会劫持您的网站、注入恶意软件或窃取用户的个人信息。因此,值得学习 WordPress 暴力破解保护以确保您的网站安全。
暴力攻击通常是指机器人通过测试无数用户名和密码组合来尝试登录您的站点,以期猜出正确的组合。幸运的是,您可以采取多种预防措施来阻止此类恶意活动。
本文将讨论在您的网站上实施 WordPress 暴力破解保护的五种方法。让我们跳进去吧!
WordPress 暴力破解保护策略
以下是我们将介绍的五种策略:
- 隐藏您的登录页面
- 使用双因素身份验证
- 使用 WordPress 防火墙
- 定期更新 WordPress
- 使用强密码
通过 5 种类型的暴力保护策略以保护#WordPress 网站?????
点击推文
1.隐藏您的 WordPress 登录页面
每次您要访问管理仪表板时,您都可以在 WordPress 登录页面输入您的凭据。例如,如果您登录到 yourdomain.com,您通常会转到 yourdomain.com/wp-login.php。这是 WordPress 中的默认 URL 结构,不幸的是,它很容易被入侵者猜到。
让黑客的日子不好过的一种方法是将默认的 WordPress 登录 URL 更改为不太明显的内容。但是,我们不建议手动执行此操作,因为弄乱您的 .php 文件可能会破坏您的网站(除非您是专家)。
幸运的是,您可以使用 WPS 隐藏登录之类的东西,它允许您在不触及任何核心文件的情况下重命名登录 URL。您也可以随时通过停用插件来恢复默认设置。
您可以按照我们关于如何使用WPS隐藏登录页面的指南来隐藏登录来设置它。
请注意,仅此技术不足以保护您的站点免受暴力攻击。但是,结合以下注意事项可能会非常有效。
2.将双因素身份验证 (2FA) 添加到您的网站
隐藏登录页面后,值得添加双因素身份验证 (2FA) 来保护您的网站。由于用户在登录前必须完成额外的验证步骤,这种方法可以防止未经授权的访问。
例如,假设入侵者拥有您的凭据。有了 2FA 措施,您就有了额外的安全层来保护您的网站免受未经授权的访问,例如使用通过电子邮件或短信发送给用户的代码来确认用户的身份。黑客不太可能拥有所有这些详细信息,从而避免潜在的入侵。
可以使用可信安全插件(例如 MiniOrange。这个方便的工具提供了诸如通过文本、QR 码、Google 身份验证器应用程序等进行身份验证的选项。
如果您想了解如何在您的设备上设置 2FA网站,请务必阅读我们的 miniOrange 教程,我们将引导您完成所有步骤。
3. 安装 WordPress 防火墙插件
我们的下一个建议是设置 A WordPress 防火墙插件。简而言之,防火墙是使用预先配置的规则保护您的站点免受未经授权访问的软件。
例如,您可以限制您网站的用户数量,从而保护您免受分布式拒绝服务 (DDoS) 攻击。DDoS 攻击试图破坏您的服务器,模拟您的带宽无法处理的意外交通堵塞。
因此,如果您使用共享主机计划,您的网站可能会崩溃,或者您可能y 体验帐户暂停。这可能会非常令人沮丧且代价高昂,因此保护您的站点免受此类攻击是明智的。
某些托管服务提供商可能已经在其软件包中包含防火墙服务。否则,安装诸如 All-in-One WP Security and Firewall 之类的插件即可完成工作。除了防火墙功能外,此工具还为您提供额外的安全保护措施,例如垃圾邮件拦截、“登录锁定”功能以防止过多的登录尝试等。
请注意,要使其正常工作,您需要您的防火墙已正确配置。因此,查阅相关文档或咨询您的托管服务提供商是明智的。
4.定期更新 WordPress
即使您的站点有多个安全插件,如果您的 WordPress 安装已过时,您的做法可能不会有太大不同。事实上,使用旧版本的 WordPress核心、主题或插件会打开未修补的安全漏洞,使入侵者更容易攻击您的站点。
WordPress 非常流行。因此,该平台面临许多可能危及其安全性的错误和黑客攻击。好消息是开发人员努力发现这些漏洞,因此每次 WordPress 更新通常都包含新的安全补丁。您可以通过管理控制台中的“更新”部分检查可用的升级:
在对被黑网站的分析中,Sucuri发现61%[1]被攻击成功的样本是由于系统版本过时所致。由于过时的 WordPress 安装,甚至像路透社这样的网站也成为恶意攻击的受害者。所以,只要有新的版本升级,就可以使用。
由于新功能和系统改进,更新您的 WordPress 网站和相关工具可能会改善您网站的性能和用户体验 (UX)。但是,如果您担心更新站点可能会影响其功能,通常可以在发现潜在冲突时将新的主要更新(版本 XX)延迟 30 天。但是,您应该始终立即应用次要安全更新(版本 XXX)。
此外,在进行任何更改之前备份您的网站总是明智的。
5.选择强密码
最后,如果您还没有使用强密码访问您网站的管理区域,您可以让黑客的工作变得更容易。此外,如果您在拥有帐户的所有其他网站上使用相同的详细信息,您的个人或银行详细信息等敏感信息可能会被盗。
从长远来看,高达 80%[2] 的数据泄露是由于密码被盗或安全性薄弱造成的。因此,明智的做法是使用 WordPress 登录页面、社交媒体帐户、电子邮件等独有的强大凭据。
请记住,您的用户名与密码一样重要。毕竟,这是阻止入侵者的另一层安全措施。出于这个原因,最好避免使用像“admin”这样明显的用户名,因为它们太容易被猜到。
幸运的是,您的登录详细信息不必难以理解,可以由随机字母和数字组成。只要避免个人信息,使用长尾记忆短语同样有效。此外,您可以使用 LastPass 等密码管理器,它还可以让您安全地存储凭据。
立即实施 WordPress 蛮力保护
无论您经营的是小型博客还是大型电子商务企业,了解常见的网站安全威胁都是重中之重。幸运的是,通过一些工具和实践,WordPress 暴力破解保护相对容易实现。
入门指南:如何保护您的#WordPress 网站免受暴力攻击???
点击推文
在在本文中,我们讨论了保护您的 WordPress 网站免受暴力攻击的前五个技巧:
- 使用 WPS 隐藏登录之类的东西伪装您的登录页面。
- 使用 2FA 防止未经授权的访问。
- 使用防火墙服务保护您的站点免受 DDoS 攻击并限制登录尝试。
- 使 WordPress 核心、主题和插件保持最新。
- 使用难以猜测且对您的 WordPress 网站而言独一无二的强登录凭据。
有关确保网站安全的其他方法,请查看我们收集的有用的 WordPress 安全提示。
您对 WordPress 暴力破解保护有任何疑问吗?在下面的评论部分让我们知道!
参考资料
[1] https://blog.sucuri.net/2017/01/hacked-website-report-2016q3.html
[2] https : //enterprise.verizon.com/resources/reports/dbir/
