網站建設上線後,有些WodPess網站會遭受攻擊,其中有一種叫蠻力攻擊,蠻力攻擊是通過試錯法嘗試解鎖受密碼保護的網頁的方法。劫機者使用複雜的機器人來猜測登錄、註冊和其他頁面表單上的用戶名和密碼,並試圖接管該網站。因此必須阻止這些機器人/用戶以減少託管服務器上的負載。本文就來詳細介紹WodPess站點遭遇蠻力攻擊8種對應方法。
有不同的方法可以保護您的登錄頁面並阻止WodPess中的暴力攻擊。但是需要一箇插件來啓用這些功能,在本文中將主要使用Jetpck和All In One WP Secuity nd Fiewll插件進行說明。
.使用Jetpck插件進行暴力預防
Jetpck提供了許多模塊,“Secuity”是阻止暴力攻擊的模塊之一。
- 轉到管理面板中的“Jetpck∓gt;Settings”菜單。
- 當您在“Secuity”部分時,向下滾動並激活“Potect”模塊。
- 啓用後,Jetpck將自動保護您的站點,而登錄表單上沒有任何可見的驗證碼。
- 此外,您可以單擊“Potect”選項並添加IP地址列表以允許訪問您的登錄頁面。該插件僅允許列出的IP地址訪問您的WodPess登錄頁面,所有其他IP將被阻止登錄到管理儀表盤。
Jetpck的暴力預防非常簡單,沒有太多其他選擇。All in One WP Secuity∓Fiewll插件是流行且免費的安全插件之一,有助於有效保護您的WodPess網站。從您的WodPess儀表盤安裝並激活插件。它將在管理儀表盤的側邊欄上創建一箇新菜單“WP Secuity”。
該插件以積分衡量您網站的安全性,激活各個安全選項將增加積分。爲了防止暴力破解,請導航到“WP Secuity∓gt;Bute Foce”部分以查看多箇選項,如下所示:
在使用任何安全設置進行處理之前,請確保具備以下條件:
- 使用站點文件和數據庫備份整個站點。該插件將創建數據庫表並修改.htccess等站點文件。
- 確保您可以通過FTP訪問您的託管服務器。當您被鎖定在管理儀表盤之外並且無法登錄時,這是恢復文件所必需的。
- 僅當該選項適用且您需要時才啓用。
我們將在以下部分解釋此插件可用的其他選項。
通過將後綴“/wp-dmin/”或“/wp-login.php?ction=login”添加到您的站點,可以輕鬆訪問WodPess登錄頁面。由於任何人都可以使用其中一箇URL訪問您的站點,因此暴力預防的第一步是重命名登錄頁面。選中“啓用重命名登錄功能”框並提供難以猜測的所需字符串。
例如,如果您想將登錄頁面URL更改爲“yousite.com/login/”,則在文本框中輸入“login”一詞。
- 重命名登錄頁面將使您註銷,您需要使用新URL再次登錄。
- 此功能將影響所有用戶,因此如果您有用戶註冊或需要註冊才能在您的網站上發表評論,請不要激活。
- 此功能將影響使用默認登錄頁面的任何其他插件的功能。
防止暴力攻擊的下一個選項是基於瀏覽器上可用的cookie。啓用複選框“Enble Bute Foce Attck Peention”並在下一個“Secet Wod”文本框中提供密碼。
例如,如果您想將密碼詞添加爲“test”,那麼登錄URL將爲“http://yousite.com/?test=”。您可以將“/?secet-wod=”添加到您的站點URL以訪問登錄頁面。此外,您可以設置“Re-diect URL”以將未經授權的用戶重定向到該頁面。通常,您可以將其設置爲loclhost IP地址“http://27.0.0.”,以防止服務器負載。如果您有受密碼保護的頁面,則啓用複選框“My Site Hs Posts O Pges Which Ae Psswod Potected”。
如果您有一箇使用Ajx的主題或插件,則啓用複選框“My Site Hs Theme o Plugins Which Use AJAX”。通常大多數主題和插件都使用Ajx,因此您應該啓用此選項並測試您的站點是否正確加載。
- 此方法類似於重命名登錄頁面,因此上述所有警告也適用於此方法。
- 由於“enme login pge”和“cookie bsed bute foce peention”方法都會更改登錄頁面URL,因此您可以在您的站點上一次使用其中一種方法。
由於前兩個選項會影響多用戶環境,例如具有登錄、註冊和電子商務功能的網站,因此僅啓用驗證碼是您可以用來阻止暴力攻擊的最簡單方法之一。在本節下,您有三個選項可以在表單上啓用數學驗證碼:
- 在默認的WodPess登錄頁面上添加驗證碼。
- 在使用WodPess函數“wp_login_fom()”的網站上使用的所有表單上啓用驗證碼。
- 在丟失密碼請求表單上啓用驗證碼。
與Jetpck的白名單管理類似,All in One WP Secuity∓Fiewll插件也提供“Login Whitelist”選項。這將只允許列出的IP地址訪問您的WodPess登錄頁面,而所有其他IP地址將被攔截。
7.Honeypot保護
最後一箇選項是啓用“Enble Honeypot On Login Pge”。這將在登錄表單上設置一箇新字段,該字段對人類用戶不可見,僅對機器人可見。由於機器人用於填寫登錄表單上的所有字段,如果隱藏字段被填寫,插件將停止訪問。因此有助於有效地停止機器人。
8.限制登錄嘗試
限制登錄嘗試是防止WodPess暴力攻擊的主要解決方案。All In One WP Secuity插件還具有限制登錄嘗試次數的選項。但是,如果您不想使用繁重的插件,則可以使用專門的插件來限制登錄嘗試。例如,您可以使用限制登錄嘗試重新加載插件來配置任何人都可以嘗試登錄的允許嘗試次數。如果達到限制,插件將攔截IP地址並通知管理員。通過這種方式,您可以允許合法用戶登錄,同時在幾次嘗試後阻止自動機器人。
總結:
All in One WP Secuity∓Fiewll插件提供了保護您的WodPess網站的詳盡方法。儘管這看起來很有吸引力,但請確保測試每個功能並僅在您的站點需要時使用。重命名登錄頁面、基於cookie的選項和IP白名單可用於沒有用戶註冊的單個用戶站點。其餘選項,如啓用登錄驗證碼和Honeypot,可以在所有類型的網站上使用,沒有任何問題。您還可以一起使用“Jetpck”和“All in One WP Secuity∓Fiewll”插件來阻止對您網站的暴力攻擊。