最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 无论您是刚接触WORDPRESS还是经验丰富的开发人员,您都可能会对网站遭受攻击的频率感到惊讶。您可能还想知道是谁或什么人在从事这种活动–更不用说他们为什么要针对您了。

    答案很简单。在大多数情况下,坏演员是自动机器人。而您之所以成为目标,仅仅是因为您碰巧正在运行WORDPRESS。作为目前最流行的内容管理系统(CMS),它直接处于恶意行为者的视线内。尽管周围有各种各样的攻击,但暴力攻击是最受欢迎的攻击之一。而这恰恰是我们今天的主题。

    让我们看一下什么是蛮力攻击以及可以更好地保护WORDPRESS网站的一些方法。

    什么是蛮力攻击

    蛮力攻击(英语:Brute-force attack),又称为穷举攻击(英语:Exhaustive attack)或暴力破解,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。维基百科

    在现实世界中,这意味着恶意脚本会反复运行,并在WORDPRESS登录页面中输入用户名和密码。每天可能会看到数百甚至数千次这样的尝试。

    当然,如果这完全是随机的,那么使用这种技术成功登录网站将非常困难。但是,这些攻击有时可以起作用的主要原因有两个:

    1. 使用弱登录凭据,例如使用超级通用的用户名和密码。
    2. 使用以前在其他地方泄漏的凭据。

    如果这两种情况中的任何一种都存在,则会增加成功攻击的几率。一旦攻击者访问了您的WORDPRESS仪表板,他们便会造成各种破坏。

    但是,即使不成功,这些攻击也可能既烦人又浪费服务器资源。因此,重要的是要制定可以帮助减轻其损害的策略。

    反击的方法

    值得庆幸的是,您可以采取许多措施来更好地保护WORDPRESS网站免受暴力攻击。最基本的做法是建立常识性安全措施,例如使用强密码和“ admin”以外的任何其他内容作为用户名。仅这些步骤就至少会使您的网站更难以破解。

    但是,您可以采取一些更强有力的措施,包括:

    限制访问登录页面

    根据您的Web服务器的设置,您可能会考虑阻止对WORDPRESS登录页面的访问,但特定组或IP地址范围除外。例如,在Apache服务器上,可以通过.htaccess文件完成此操作。

    需要注意的是,该策略取决于管理员具有静态IP地址。在公司环境中,可能会是这种情况。但是,其他情况可能会使此方法更加困难。官方的WORDPRESS文档还有一些进一步的建议,值得一看。

    另一种方法是在服务器级别用密码保护登录页面。尽管这带来了一些不便,但确实有助于确保只有授权用户才能访问仪表板。

    使用插件

    有许多专用于安全的WORDPRESS插件,其中一些提供的功能可以防止暴力攻击。比如:

    Jetpack 的“保护 ”功能可阻止不必要的登录尝试。(国内网站不推荐用 Jetpack,因为某些资源无法在国内加载和使用)

    Wordfence采用了几种特定于登录的措施,例如两因素身份验证,reCAPTCHA和暴力保护。还有一个配套插件,专门用于登录安全性。

    Login LockDown是一个旨在限制暴力破解尝试的插件。在一定数量的失败登录后,它会自动锁定有问题的IP地址。

    iThemes Security  提供了几个登录相关的保护,包括强力保护,双因素认证和重命名/wp-admin/文件夹的能力,以阻止机器人。

    使用CDN/防火墙

    内容交付网络(CDN)不仅可以提高您网站的性能,而且还具有阻止恶意机器人与WORDPRESS之间的屏障的作用。

    CDN提供程序通常包括阻止IP地址甚至整个国家访问您的站点(或至少是您的仪表板)的方法。根据您使用的服务,可能还会有专门针对阻止暴力攻击的保护措施。

    这种方法的优点在于,您可以大大减轻Web服务器上的负载。怎么样?攻击者在到达您的站点之前已被CDN的防火墙阻止。这就好比在房子前面放一个巨大的苍蝇拍,在害虫进入您的前门之前将其拒之门外。

    当涉及到安全性时,要积极主动

    不幸的是,不采取任何措施来防止暴力登录是不可行的选择。这些攻击无处不在而且毫无情义。而且风景当然不会像它自己那样会变得更好。因此,应由我们采取预防措施。

    幸运的是,这并不困难。上面的选项虽然不是100%完美,但是却很容易实现。每个人都使普通的机器人更难实现它们的目的。

    而且,现在减轻这些攻击的成本要比以后处理被黑网站的成本低得多。仅凭这一点,就应该积极主动地区实施防范措施。

    本站大部分资源收集于网络以及网友投稿,本不保证资源的完整性以及安全性,请下载后自行测试。 本站资源仅供下载者学习技术,版权归资源原作者所有,请在下载后24小时之内自觉删除。 若作商业用途,请购买正版,由于未及时购买正版发生的侵权行为,与本站无关。 如您是版权方,本站源码有侵犯到您的权益,请邮件联系 263956200@qq.com 删除,我们将及时处理!
    优贝云资源网 » WORDPRESS网站如何免受蛮力攻击

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    站壳网
    一个高级程序员模板开发平台