如何让您的WordPress网站免受暴力攻击
WordPress网站遭受暴力攻击是一件让人非常头疼的事情。会让我们的WordPress网站速度下降。从而流失用户。降低用户体验。那么如何让您的WordPress网站免受暴力攻击,要解决这个问题,我们先来了解一下有关暴力攻击的知识。
什么是暴力攻击?
暴力攻击是一种黑客攻击方法,它利用反复试验技术闯入网站,网络或计算机系统。
黑客使用自动化软件向目标系统发送大量请求。对于每个请求,这些软件都会尝试猜测访问所需的信息,如密码。
这些工具还可以通过使用不同的IP地址和位置来伪装自己,这使得目标系统更难以识别和阻止这些可疑活动。
成功的暴力攻击可以让黑客访问您网站的管理区域。他们可以安装后门程序,恶意软件,窃取用户信息以及删除您网站上的所有内容。
即使是不成功的强力攻击也可能通过发送太多请求来肆虐,这会降低WordPress托管服务器的速度甚至崩溃。
话虽这么说,让我们来看看如何保护你的WordPress网站免受暴力攻击。
步骤1.安装WordPress防火墙插件
暴力攻击会给您的服务器带来很大的负担。即使是不成功的也会使您的网站变慢或完全崩溃服务器。这就是为什么在它们到达您的服务器之前阻止它们很重要的原因。
为此,您需要一个网站防火墙解决方案。防火墙会过滤掉不良流量并阻止其访问您的网站。
您可以使用两种类型的网站防火墙。
应用程序级防火墙 – 这些防火墙插件一旦到达您的服务器但在加载大多数WordPress脚本之前检查流量。此方法效率不高,因为暴力攻击仍会影响您的服务器负载。
DNS级别网站防火墙 – 这些防火墙通过其云代理服务器路由您的网站流量。这使他们只能向您的主Web托管服务器发送正常流量,同时提高您的WordPress速度和性能。
我们建议使用Sucuri。它是网站安全领域的行业领导者,也是市场上最好的WordPress防火墙。由于它是DNS级别的网站防火墙,这意味着您的所有网站流量都会通过其代理,过滤掉不正常的流量。
步骤2.安装WordPress更新
一些常见的暴力攻击主动针对旧版WordPress,流行的WordPress插件或主题中的已知漏洞。
WordPress核心和最流行的WordPress插件是开源的,并且通常会在更新时快速修复漏洞。但是,如果您未能安装更新,则会使您的网站容易受到这些旧威胁的攻击。
只需转到WordPress管理区域中的仪表板»更新页面,即可查看可用的更新。此页面将显示您的WordPress核心,插件和主题的所有更新。
步骤3.保护WordPress管理目录
对WordPress网站的大多数暴力攻击都试图访问WordPress管理区域。您可以在服务器级别的WordPress管理目录中添加密码保护。这将阻止未经授权访问您的WordPress管理区域。
只需登录您的WordPress主机控制面板(cPanel),然后单击“文件”部分下的“目录隐私”图标。
注意:我们在屏幕截图中使用了Bluehost,但其他顶级托管公司也提供了类似的设置,如SiteGround,HostGator等。
接下来,您需要找到wp-admin文件夹并单击文件夹名称。
cPanel现在将要求您提供受限文件夹,用户名和密码的名称。输入此信息后,单击“保存”按钮以存储设置。
您的WordPress管理目录现在受密码保护。当您访问WordPress管理区域时,您将看到一个新的登录提示。
如果遇到404错误或错误太多重定向消息,则需要将以下行添加到WordPress .htaccess文件中。
ErrorDocument 401 default
步骤4.在WordPress中添加双因素身份验证
双因素身份验证为您的WordPress登录屏幕添加了额外的安全层。基本上,用户需要他们的手机生成一次性密码及其登录凭据才能访问WordPress管理区域。
添加双因素身份验证将使黑客更难获得访问权限,即使他们能够破解您的WordPress密码。
步骤5.使用唯一的强密码
密码是访问您的WordPress网站的关键。您需要为所有帐户使用唯一的强密码。强密码是数字,字母和特殊字符的组合。
重要的是,您不仅要为WordPress用户帐户使用强密码,还要为FTP,Web托管控制面板和WordPress数据库使用强密码。
大多数初学者问我们如何记住所有这些独特的密码?好吧,你不需要。我们可以使用密码管理器。
步骤6.禁用目录浏览
默认情况下,当您的Web服务器找不到索引文件(即index.php或index.html等文件)时,它会自动显示一个显示目录内容的索引页面。
在暴力攻击期间,黑客可以使用目录浏览来查找易受攻击的文件。要解决此问题,您需要在WordPress .htaccess文件的底部添加以下行。
Options -Indexes
步骤7.在特定的WordPress文件夹中禁用PHP文件执行
黑客可能希望在WordPress文件夹中安装和执行PHP脚本。WordPress主要用PHP编写,这意味着你无法在所有WordPress文件夹中禁用它。
但是,有些文件夹不需要任何PHP脚本。例如,您的WordPress上传文件夹位于/ wp-content / uploads。
你可以在uploads文件夹中安全地禁用PHP执行,这是黑客用来隐藏后门文件的常见地方。
首先,您需要在计算机上打开文本编辑器(如记事本)并粘贴以下代码:
<Files *.php>
deny from all
</Files>
现在,将此文件另存为.htaccess,并使用FTP客户端将其上传到您网站上的/ wp-content / uploads /文件夹。
步骤8.安装并设置WordPress Backup插件
备份是WordPress安全库中最重要的工具。如果所有其他方法都失败了,那么备份将允许您轻松恢复您的网站。
大多数WordPress托管公司提供有限的备份选项。但是,这些备份无法保证,您自行负责进行自己的备份。