WordPress 是互联网上最著名的 CMS 之一,这意味着它也有其缺点。有许多黑客在 WordPress 中寻找漏洞并使用不同的机制对其进行攻击。以下是保护您的 WordPress 博客免受暴力攻击的方法。

WordPress 是最著名的 CMS 之一,世界上大约 35% 的网站都在它上面运行。但这意味着此 CMS 中的任何漏洞都会使全球约 35% 的网站面临该安全威胁。

利用弱点的方法之一是蛮力攻击,黑客试图通过尝试一些随机密码来猜测 WordPress 用户的密码。

最近几天,我在这个博客上遇到了暴力攻击,并采取了一些预防措施来阻止它。

我使用Jetpack 插件,它带有一个模块来阻止暴力攻击。我注意到 Jetpack 模块在多次阻止尝试中显着增加。

前一天这个数字大约是 3000,突然之间,一夜之间,它已经跃升至 33000。

当我看到为破解密码付出的努力时,我知道是时候采取一些行动了。

如何阻止对 WordPress 的蛮力攻击

您可以采取许多预防措施来保护您的 WordPress 网站免受暴力攻击。因此,请从下面提到的步骤开始,让您的 WordPress 安装更加安全。

删除管理员用户名

您应该做的第一件事是确保您没有任何用户名为“admin”的管理员用户。听起来很傻吧?但大多数 WordPress 安装仍会保留用户名 admin。

这意味着您让黑客变得更容易了,因为现在他们只需要猜测密码。通过查找您的用户名让他们做一些额外的工作。

如果您使用 AWS LightSail WordPress 安装,他们已经将默认用户名更改为“user”。我仍然建议删除该帐户并创建一个不同的管理员用户帐户。

通过这种方式,黑客必须寻找用户名,这将使他们很难入侵您的博客。

您还需要确保用户名和显示名称不同,因为它会破坏目的。黑客可以轻松地从显示名称中获取您的用户名。

我通常建议创建一个单独的管理员帐户,不要将该帐户用于任何其他活动,例如撰写帖子。这样就没有您的管理员用户名的视觉线索。

有一个强密码

在任何蛮力攻击中幸存下来的关键是强密码。

蛮力的想法是通过尝试多个密码来猜测用户密码。大多数蛮力脚本只是不断生成密码并尝试登录,直到找到正确的密码。

因此,强密码将确保它需要大量时间才能找到它,这可以让您有时间做出反应。

什么是强密码?

强密码通常很长,包含混合大小写字母和特殊字符的字母数字。它本质上应该是随机的,不应基于任何单词。

它们不应基于任何个人信息,因为这样很容易猜测。

这是强密码的示例

你能记住这个密码吗?您可以创建和记住多少这样的密码?

这就是大多数人遇到问题的地方,他们通常会创建一两个密码并将其用于所有登录。

另一个坏主意,这意味着一旦有人破解了一个密码,他就可以猜测所有其他登录的密码。

因此,如果您确实想保护您的登录信息,您应该使用任何密码管理器来创建和记住密码。这样,您只需要记住一个密钥密码,密码管理器就会记住所有其他密码。

1密码

这是我对密码管理器的首选。它允许您创建和存储密码,您可以定义创建密码的标准,如长度、特殊字符和数字的数量。

它可以支持多个保管库,因此您可以组织您的密码。您还可以在包括 Android 和 iOS 在内的设备上同步您的密码,它也可以作为大多数浏览器的扩展程序使用。

这是确保您的登录密码具有唯一性和强密码的好方法之一。

获取 Mac 版    获取 Windows 版

最后通行证

这是另一个很好的密码管理器,可在大多数平台上使用。它还提供了一种通过云共享密码并生成随机强密码的方法。

他们为 1 位用户提供免费版本,高级功能的起价低至每月 2 美元。如果您计划最多为 6 位家庭成员使用它,它还有一个家庭选项。

获取 LastPass

使用上述任何密码管理器,但请确保使用长度至少为 15 个字符且难以猜测的强密码。

使用 WordPress 角色

对安全的最大威胁之一是过多和未使用的特权这意味着您的所有用户都应该只拥有完成工作所需的权限,而不是一个额外的访问权限。它被称为最小特权原则。

WordPress 带有用户角色,您应该确保为您的用户分配了正确的权限。有管理员、编辑、作者、贡献者和订阅者等角色。

您需要确保许多人没有您博客的管理员访问权限,并且其他作者也分为编辑、作者和贡献者。

查看此WordPress 支持文章以了解不同角色之间的区别。

默认用户角色

WordPress 允许人们在您的博客上注册,因此您需要确保根据您的需要对其进行控制。

您可以在“设置”->“常规”中更改 WordPress 管理仪表板中的设置

如果您不希望有人来注册您的博客,您应该取消选择会员选项。

此外,将新用户的默认角色更新为订阅者,这样他们就没有任何额外的权限。一旦您确定您的用户需要什么权限,您可以稍后更改用户角色。

限制最大登录失败次数

蛮力攻击的一大特征是失败的登录次数过多。黑客尝试了太多不同的密码来猜测您的登录信息,这意味着他们会尝试多种组合。

您可以限制登录失败的次数,以便如果用户尝试登录的次数过多,则会被阻止一段时间。您可以使用 WordPress 插件来完成这项工作。

限制重新加载的登录尝试

限制登录尝试是完成这项工作的最佳插件,但它并没有更新很长时间。这个 WordPress 插件负责解决这个问题,它基于原始插件并不断更新。

该插件允许您定义重试次数和锁定时间。如果同一 IP 有多个锁定,您还可以定义锁定时间的增加。

它还带有黑名单和白名单 IP 选项,可以在您从同一 IP 获得多次暴力攻击的情况下使用。

重新加载限制登录尝试

WP 限制登录尝试

这是另一个 WordPress 插件,可让您限制登录尝试。除非您购买专业版,否则与之相关的设置并不多。对于免费版本,只需安装并激活即可保护您的管理员登录。

默认模式允许 5 次失败的登录尝试,然后将用户锁定 10 分钟。它还会在 3 次登录尝试失败后显示验证码。如果您想更改其中任何一项,则需要购买专业版。

获取 WP 限制登录尝试插件

您可以使用上面提到的任何插件并保护您的博客免受暴力攻击。

启用两因素身份验证

双因素身份验证是消除对密码完全依赖的好方法之一。这意味着即使您有一个黑客能够猜到的弱密码,他们仍然需要访问额外的安全措施。

在大多数情况下,您的用户将能够启用身份验证器应用程序,该应用程序将根据已确定的算法生成令牌。每次从新设备登录时都需要提供令牌。它将允许您在没有令牌的情况下从同一设备登录长达 30 天。

如果您想知道如何为 WordPress 设置两因素身份验证,我们为您提供了一个易于使用的指南。请使用我们的双因素身份验证 WordPress 设置指南并保护您的安装。

您的用户可以安装诸如 Google Authenticator 或 Microsoft Authenticator 之类的身份验证器应用程序以获取额外的安全令牌。这也意味着任何蛮力攻击现在都需要提供仅在一分钟内有效的附加参数。因此,对于蛮力攻击的猜测变得更加困难。

更改 WordPress 登录 URL

像 WordPress 这样的 CMS 的主要缺点之一是每个人都知道您网站的基本结构。黑客知道默认的 WordPress 登录页面是 WP-Admin,所以他们会去那里尝试破解密码。

这可以通过将登录 URL 从 wp-admin 更改为您选择的 URL 来避免。这意味着黑客现在有一项额外的任务,即猜测登录 URL。

如果您没有很多用户或者您自己运行博客,则此策略将有效。如果您允许人们在您的博客上注册,那么他们都需要记住 URL,否则您必须提供超链接。超链接破坏了整个目的,因为黑客可以跟踪它并要求许多人记住 URL 是不实践的。

WordPress 存储库中有许多插件可以为您完成这项工作。

WPS 隐藏登录

WPS 隐藏登录允许您定义登录 URL 的 slug。它将禁用 wp-admin URL,因此任何登录的人都会收到一条消息,指出登录服务被阻止。他们需要知道登录的 slug 并去那里登录。

您可以决定 slug 并将其保留为任何单词或单词组合。该插件在 Settings -> General 选项卡中添加了一个额外的设置,您可以在其中定义登录页面 slug。

确保您选择的单词不仅仅是“登录”,这是插件的默认 slug。让黑客难以猜测,让你容易记住。

即使黑客发现了它,您也可以登录 WordPress 并再次更改它。

获取 WPS 隐藏登录

安装 WordPress 安全插件

那些黑客企图鲜为人知的日子已经一去不复返了。如今,您必须保护您的博客,否则每个人都会来找它。

WordPress 有许多插件,可让您保护博客并在发生任何事故时恢复 WordPress 核心文件。其中一些插件带有防火墙功能,可以阻止来自已知不良 IP 的流量。

安全果汁

Sucuri 不仅是一个安全插件,还是一家致力于为 WordPress 寻找大量漏洞的公司。他们不断用新的发现更新他们的插件。

他们的插件带有防火墙功能,允许您在出现任何问题时阻止特定 IP。它还可以保护您免受许多已知的黑客 IP 地址的侵害。

它还会扫描您的 WordPress 安装,并根据最佳安全实践提出更改建议。

获取安全果汁

多合一 WP 安全和防火墙

多合一 WP 安全插件不仅具有防火墙功能,还具有登录锁定功能。所以你不必安装多个插件。

您还可以隐藏管理员登录页面,这将使黑客难以攻击您的网站。这个插件将一些很好的功能整合到一个插件中,所以如果你打算实施多个解决方案,我建议你安装这个插件。

多合一安全和防火墙

您可以使用这些技巧来保护您的 WordPress 网站免受暴力攻击。如果您遇到任何有关蛮力攻击的具体问题,请在评论中告诉我们。

完全披露:这篇文章可能包含附属链接,这意味着如果您点击其中一个链接并购买商品,我们可能会收到佣金(您无需支付额外费用)。我们只超链接我们认为为我们的观众增加价值的产品。经济补偿对这些产品不起作用。