如何保護您的WordPress網站免受暴力攻擊(8條提示)


您想保護您的WordPress網站免受暴力攻擊嗎? 這些攻擊會降低您的網站速度,使其無法訪問,甚至破解您的密碼以在您的網站上安裝惡意軟件。 在本文中,我們將向您展示如何保護WordPress網站免受暴力攻擊。

保護WordPress免受暴力攻擊

什麼是蠻力攻擊?

蠻力攻擊是一種利用嘗試和錯誤技術入侵網站,網絡或計算機系統的黑客方法。

黑客使用自動化軟件向目標系統發送大量請求。 對於每個請求,這些軟件都會嘗試猜測獲得訪問權限所需的信息,例如密碼或密碼。

這些工具還可以通過使用不同的IP地址和位置來偽裝自己,這使目標系統更難識別和阻止這些可疑活動。

成功的暴力攻擊可以使黑客訪問您網站的管理區域。 他們可以安裝後門程序,惡意軟件,竊取用戶信息並刪除您網站上的所有內容。

即使發送失敗的暴力攻擊也可能因發送過多請求而造成嚴重破壞,這會減慢WordPress託管服務器的速度,甚至使它們崩潰。

話雖如此,讓我們來看看如何保護您的WordPress網站免受暴力攻擊。

步驟1.安裝WordPress防火牆插件

蠻力攻擊給您的服務器帶來了很多負擔。 甚至失敗的網站也會降低您的網站速度或使服務器完全崩潰。 這就是為什麼在它們到達您的服務器之前對其進行阻止很重要。

為此,您需要一個網站防火牆解決方案。 防火牆會過濾掉不良流量並阻止其訪問您的站點。

網站防火牆如何工作

您可以使用兩種類型的網站防火牆。

應用層防火牆 –這些防火牆插件會在流量到達您的服務器後但在加載大多數WordPress腳本之前檢查流量。 這種方法效率不高,因為蠻力攻擊仍然會影響服務器負載。

DNS級網站防火牆 –這些防火牆通過其云代理服務器路由您的網站流量。 這樣一來,他們就只能將真正的流量發送到您的主Web託管服務器,同時提高WordPress的速度和性能。

我們建議使用Sucuri。 它是網站安全性和市場上最好的WordPress防火牆的行業領導者。 由於它是DNS級別的網站防火牆,這意味著您的所有網站流量都通過其代理進行過濾,從而過濾掉了不良流量。

我們在網站上使用Sucuri,您可以閱讀我們完整的Sucuri評論以了解更多信息。

步驟2.安裝WordPress更新

一些常見的暴力攻擊會主動針對較舊版本的WordPress,流行的WordPress插件或主題中的已知漏洞。

WordPress核心和最流行的WordPress插件是開源的,漏洞通常可以通過更新很快得到修復。 但是,如果無法安裝更新,則您的網站容易受到那些舊威脅的攻擊。

只需轉到 儀表板»更新 WordPress管理區域中的頁面以檢查可用更新。 此頁面將顯示WordPress核心,插件和主題的所有更新。

WordPress管理區域中的“更新”頁面

有關更多詳細信息,請參閱有關如何正確更新WordPress插件的指南。

步驟3.保護WordPress管理員目錄

WordPress網站上的大多數蠻力攻擊都試圖訪問WordPress管理區域。 您可以在服務器級別的WordPress管理員目錄上添加密碼保護。 這將阻止未經授權的訪問您的WordPress管理區域。

只需登錄到WordPress託管控制面板(cPanel),然後單擊“文件”部分下的“目錄隱私”圖標。

注意: 我們在截圖中使用的是Bluehost,但其他頂級託管公司以及SiteGround,HostGator等也可以使用類似的設置。

cPanel中的目錄隱私

接下來,您需要找到wp-admin文件夾,然後單擊文件夾名稱。

瀏覽並找到wp-admin文件夾

cPanel現在將要求您提供受限文件夾的名稱,用戶名和密碼。 輸入此信息後,單擊保存按鈕以存儲您的設置。

密碼保護WordPress管理員目錄

您的WordPress管理目錄現已受密碼保護。 當您訪問WordPress管理區域時,您將看到一個新的登錄提示。

登錄提示

如果您遇到404錯誤或錯誤太多重定向消息,則需要將以下行添加到WordPress .htaccess文件中。

ErrorDocument 401 default

有關更多詳細信息,請參閱有關如何密碼保護WordPress管理員目錄的文章。

步驟4.在WordPress中添加兩因素身份驗證

兩因素身份驗證為您的WordPress登錄屏幕添加了一個額外的安全層。 基本上,用戶將需要手機來生成一次性密碼以及其登錄憑據才能訪問WordPress管理區域。

輸入兩步驗證碼

添加兩因素身份驗證將使黑客更難獲得訪問權限,即使他們能夠破解您的WordPress密碼也是如此。

有關詳細的分步說明,請參閱有關如何在WordPress中添加兩因素身份驗證的指南

步驟5.使用唯一的強密碼

密碼是訪問您的WordPress網站的關鍵。 您需要為所有帳戶使用唯一的強密碼。 強密碼是數字,字母和特殊字符的組合。

重要的是,您不僅要對WordPress用戶帳戶使用強密碼,而且還要對FTP,虛擬主​​機控制面板和WordPress數據庫使用強密碼。

大多數初學者問我們如何記住所有這些唯一的密碼? 好吧,你不需要。 有出色的密碼管理器應用程序可安全存儲您的密碼並自動為您填寫。

要了解更多信息,請參閱有關管理WordPress密碼的最佳方法的初學者指南。

步驟6.禁用目錄瀏覽

默認情況下,當您的Web服務器找不到索引文件(即,諸如index.php或index.html之類的文件)時,它將自動顯示一個顯示目錄內容的索引頁。

目錄索引

在暴力攻擊期間,黑客可以使用目錄瀏覽來查找易受攻擊的文件。 要解決此問題,您需要在WordPress .htaccess文件底部添加以下行。

Options -Indexes

有關更多詳細信息,請參閱有關如何在WordPress中禁用目錄瀏覽的文章。

步驟7.禁用特定WordPress文件夾中的PHP文件執行

黑客可能希望在WordPress文件夾中安裝並執行PHP腳本。 WordPress主要是用PHP編寫的,這意味著您不能在所有WordPress文件夾中禁用它。

但是,有些文件夾不需要任何PHP腳本。 例如,您的WordPress上載文件夾位於/ wp-content / uploads。

您可以在上載文件夾中安全地禁用PHP執行,這是黑客通常用來隱藏後門文件的地方。

首先,您需要在計算機上打開一個文本編輯器(如記事本),並粘貼以下代碼:


deny from all

現在,將該文件另存為.htaccess,然後使用FTP客戶端將其上傳到您網站上的/ wp-content / uploads /文件夾中。

步驟8.安裝和設置WordPress備份插件

WordPress備份插件

備份是WordPress安全工具庫中最重要的工具。 如果所有其他方法均失敗,則備份將使您輕鬆恢復網站。

大多數WordPress託管公司提供有限的備份選項。 但是,不能保證這些備份,並且您應全權負責製作自己的備份。

有幾個很棒的WordPress備份插件,可讓您安排自動備份。

我們建議使用UpdraftPlus。 它適合初學者使用,可讓您快速設置自動備份並將其存儲在遠程位置,例如Google Drive,Dropbox,Amazon S3等。

有關逐步說明,請參閱我們的指南,了解如何使用UpdraftPlus備份和還原WordPress網站

所有上述技巧將幫助您保護WordPress網站免受暴力攻擊。 要獲得更全面的安全設置,您應該按照初學者的終極WordPress安全指南中的說明進行操作。

我們希望本文能幫助您學習如何保護WordPress網站免受暴力攻擊。 您可能還需要注意WordPress被黑的跡像以及如何修復被黑的WordPress網站。

如果您喜歡這篇文章,請訂閱我們的YouTube頻道WordPress視頻教程。 您也可以在找到我們 推特 和Facebook。