如何保护WordPress网站免受暴力攻击

2018年8月9日07:58:30 2 32 views

最近网络安全公司Check Point披露了一场大规模恶意广告攻击行动,超过1万个 WordPress 网站被黑客攻击。这些攻击可能会造成网站速度降低、无法访问,甚至破解密码在网站上安装恶意软件。本文将详细介绍如何保护WordPress网站免受暴力攻击。

如何保护WordPress网站免受暴力攻击

 

什么是暴力攻击?

暴力攻击是一种黑客攻击方法,它利用反复试验技术闯入网站、网络或计算机系统。黑客使用自动化软件向目标系统发送大量请求。对于每个请求,这些软件都会尝试猜测访问所需的信息,如密码。

这些工具还可以通过使用不同的IP地址和位置来伪装自己,使目标系统更难以识别和阻止这些可疑活动。暴力攻击一旦成功,黑客就可以顺利进入你的网站管理后台。他们可以安装后门程序,恶意软件,窃取用户信息,删除网站上的所有内容。即使暴力攻击不成功,这些黑客发送的大量请求也会给网站带来巨大伤害,他们会降低服务器的速度甚至崩溃。

 

步骤1、安装WordPress防火墙插件

暴力攻击会给服务器带来很大的负担,即使暴力攻击不成功,也会使网站变慢或使服务器完全崩溃。为此,我们需要一个网站防火墙解决方案,防火墙会过滤掉恶意流量并阻止其访问网站。我们可以使用两种类型的网站防火墙。

如何保护WordPress网站免受暴力攻击

 

应用程序级防火墙 - 这些防火墙插件检查流量到达你的服务器之前,会加载大多数WordPress脚本。这种方法效率不高,因为暴力攻击会持续影响服务器的负载。

 

DNS级别网站防火墙 - 这些防火墙通过云代理服务器路由你的网站流量。他们只能向你的服务器发送正版流量,同时提高你的WordPress速度和性能。

我们建议使用Sucuri。它是网站安全领域的行业领导者,也是市场上最好的WordPress防火墙。由于它是DNS级别的网站防火墙,所有网站流量都会通过其代理,过滤掉流量不足的流量。

 

 

步骤2、安装WordPress更新

一些常见的暴力攻击主要针对旧版WordPress,主流的WordPress插件或主题中的已知漏洞。WordPress核心和最主流的WordPress插件是开源的,并且通常会在更新时快速修复漏洞。但是,如果我们未能及时安装更新,就会使网站容易受到这些旧威胁的攻击。

新版WordPress发布后,会在后台即使提示。只需转到WordPress后台 仪表盘 » 更新 页面,即可更新。此页面将显示WordPress核心,插件和主题的所有更新。

 

步骤3、保护WordPress管理目录

大多数对WordPress网站的暴力攻击都试图访问WordPress管理后台,我们可以在服务器级别的WordPress管理目录中添加密码保护,可以阻止未经授权的WordPress管理后台访问。

只需登录WordPress主机控制面板(cPanel),设置wp-admin文件夹目录隐私。大多数托管公司都提供了类似的设置,如阿里云、腾讯等,但这项服务是收费的。设置好后,当访问WordPress管理后台时,会提示输入用户名和密码。

如果遇到404错误或错误太多重定向消息,则需要将以下行添加到WordPress .htaccess文件中。

  1. ErrorDocument 401 default

 

步骤4、给WordPress添加登录验证

双重身份验证为WordPress登录添加了额外的安全保障。用户需要生成短信验证码和登录凭证才能访问WordPress管理后台。

添加双重身份验证能使黑客更难获得访问权限,即使他们有能力破解你的WordPress密码。

 

步骤5、设置强密码

密码是访问WordPress网站的关键,我们需要为所有帐户设置强密码(强密码是数字,字母和特殊字符的组合)。我们不仅要为WordPress管理员用户使用强密码,还要为FTP,服务器控制面板和WordPress数据库使用强密码。

 

步骤6、禁用目录浏览

默认情况下,当Web服务器找不到索引文件(即index.php或index.html等文件)时,它会自动显示一个显示目录内容的索引页面。

在暴力攻击期间,黑客可以使用目录浏览来查找易受攻击的文件。要解决此问题,需要在WordPress .htaccess文件的底部添加以下行。

  1. Options -Indexes

 

步骤7、在特定的WordPress文件夹中禁用PHP文件执行

黑客可能会在WordPress文件夹中安装和执行PHP脚本。WordPress主要用PHP编写,所以我们无法禁用全部PHP脚本。但是,有些文件夹不需要任何PHP脚本。例如:WordPress上传文件夹/ wp-content / uploads。

可以安全地禁用uploads文件夹中的PHP执行,这是黑客用来隐藏后门文件的常见地方。首先,打开文本编辑器(如记事本)并粘贴以下代码:

  1. <Files *.php>
  2. deny from all
  3. </Files>

然后,将此文件另存为.htaccess,并使用FTP客户端将其上传到网站上的/ wp-content / uploads /文件夹。

 

步骤8、安装并设置WordPress备份插件

备份是WordPress安全库中最重要的工具。如果以上方法都失败了,那么备份可以轻松恢复网站。大多数服务器商都提供有限的备份功能,但是,这些备份无法保证绝对安全,还需要自行负责备份。

如何保护WordPress网站免受暴力攻击

我们之前有篇文章介绍了7个最佳WordPress备份插件,我们可以安装并设置自动备份。建议使用UpdraftPlus,它是免费的,对于初学者来说使用很简单。它能够快速设置自动备份并将其存储到远程位置。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:2   其中:访客  1   博主  1

    • 姜辰 姜辰 5

      所有前提,用的是Apache .

      让我Nginx情何以堪?

        • 里维斯社 里维斯社 Admin

          @姜辰 不存在的,你可以对照列表查看一下有哪些可以加强安全的 :mrgreen: