保護您的WordPress網站免受蠻力攻擊

無論您是剛接觸WordPress還是經驗豐富的開發人員,您都可能會對網站遭受攻擊的頻率感到驚訝。您可能還想知道是誰或什么人在從事這種活動–更不用說他們為什么要針對您了。

答案很簡單。在大多數情況下,壞演員是自動機器人。而您之所以成為目標,僅僅是因為您碰巧正在運行WordPress。作為目前最流行的內容管理系統(CMS),它直接處于惡意行為者的視線內。盡管周圍有各種各樣的攻擊,但暴力攻擊是最受歡迎的攻擊之一。而這恰恰是我們今天的主題。

讓我們看一下什么是蠻力攻擊以及可以更好地保護WordPress網站的一些方法。

什么是蠻力攻擊

我們可以從 維基百科 上看到關于蠻力攻擊的介紹:

蠻力攻擊(英語:Brute-force attack)[1],又稱為窮舉攻擊(英語:Exhaustive attack)或暴力破解,是一種密碼分析的方法,即將密碼進行逐個推算直到找出真正的密碼為止。

維基百科

在現實世界中,這意味著惡意腳本會反復運行,并在WordPress登錄頁面中輸入用戶名和密碼。每天可能會看到數百甚至數千次這樣的嘗試。

當然,如果這完全是隨機的,那么使用這種技術成功登錄網站將非常困難。但是,這些攻擊有時可以起作用的主要原因有兩個:

  1. 使用弱登錄憑據,例如使用超級通用的用戶名和密碼。
  2. 使用以前在其他地方泄漏的憑據。

如果這兩種情況中的任何一種都存在,則會增加成功攻擊的幾率。一旦攻擊者訪問了您的WordPress儀表板,他們便會造成各種破壞。

但是,即使不成功,這些攻擊也可能既煩人又浪費服務器資源。因此,重要的是要制定可以幫助減輕其損害的策略。

反擊的方法

值得慶幸的是,您可以采取許多措施來更好地保護WordPress網站免受暴力攻擊。最基本的做法是建立常識性安全措施,例如使用強密碼和“ admin”以外的任何其他內容作為用戶名。僅這些步驟就至少會使您的網站更難以破解。

但是,您可以采取一些更強有力的措施,包括:

限制訪問登錄頁面

根據您的Web服務器的設置,您可能會考慮阻止對WordPress登錄頁面的訪問,但特定組或IP地址范圍除外。例如,在Apache服務器上,可以通過.htaccess文件完成此操作。

需要注意的是,該策略取決于管理員具有靜態IP地址。在公司環境中,可能會是這種情況。但是,其他情況可能會使此方法更加困難。官方的WordPress文檔還有一些進一步的建議,值得一看。

另一種方法是在服務器級別用密碼保護登錄頁面。盡管這帶來了一些不便,但確實有助于確保只有授權用戶才能訪問儀表板。

使用插件

有許多專用于安全的WordPress插件,其中一些提供的功能可以防止暴力攻擊。比如:

Jetpack?的“保護?”功能可阻止不必要的登錄嘗試。(國內網站不推薦用 Jetpack,因為某些資源無法在國內加載和使用)

Wordfence采用了幾種特定于登錄的措施,例如兩因素身份驗證,reCAPTCHA和暴力保護。還有一個配套插件,專門用于登錄安全性。

Login LockDown是一個旨在限制暴力破解嘗試的插件。在一定數量的失敗登錄后,它會自動鎖定有問題的IP地址。

iThemes Security? 提供了幾個登錄相關的保護,包括強力保護雙因素認證重命名/wp-admin/文件夾的能力,以阻止機器人。

使用CDN /防火墻

內容交付網絡(CDN)不僅可以提高您網站的性能,而且還具有阻止惡意機器人與WordPress之間的屏障的作用。

CDN提供程序通常包括阻止IP地址甚至整個國家訪問您的站點(或至少是您的儀表板)的方法。根據您使用的服務,可能還會有專門針對阻止暴力攻擊的保護措施。

這種方法的優點在于,您可以大大減輕Web服務器上的負載。怎么樣?攻擊者在到達您的站點之前已被CDN的防火墻阻止。這就好比在房子前面放一個巨大的蒼蠅拍,在害蟲進入您的前門之前將其拒之門外。

當涉及到安全性時,要積極主動

不幸的是,不采取任何措施來防止暴力登錄是不可行的選擇。這些攻擊無處不在而且毫無情義。而且風景當然不會像它自己那樣會變得更好。因此,應由我們采取預防措施。

幸運的是,這并不困難。上面的選項雖然不是100%完美,但是卻很容易實現。每個人都使普通的機器人更難實現它們的目的。

而且,現在減輕這些攻擊的成本要比以后處理被黑網站的成本低得多。僅憑這一點,就應該積極主動地區實施防范措施。

我們之前已經分享過其他安全方面的教程:

倡萌

一個文科IT宅男,喜歡折騰WordPress和被它折騰 ^_^

暫無評論

發表評論