WordPress 攻击思路
您想保护您的 WordPress 网站免受暴力攻击吗?这些攻击可能会减慢您的网站速度、使其无法访问,甚至破解您的密码以在您的网站上安装恶意软件。在本文中,我们将向您展示如何保护您的 WordPress 网站免受暴力攻击。
您想保护您的 WordPress 网站免受暴力攻击吗?这些攻击可能会减慢您的网站速度、使其无法访问,甚至破解您的密码以在您的网站上安装恶意软件。在本文中,我们将向您展示如何保护您的 WordPress 网站免受暴力攻击。
什么是蛮力攻击? (What is a Brute Force Attack?)
暴力攻击是一种利用试错技术闯入网站、网络或计算机系统的黑客方法。
暴力攻击是一种使用试错技术侵入网站、网络或计算机系统的黑客方法。
黑客使用自动化软件向目标系统发送大量请求。对于每个请求,这些软件都会尝试猜测获得访问权限所需的信息,例如密码或个人识别码。
黑客使用自动化软件向目标系统发出大量请求。对于每个请求,这些软件都会尝试猜测获得访问权限所需的信息,例如密码或密码。
These tools can also disguise themselves by using different IP地址 and locations, which makes it harder for the targeted system to identify and block these suspicious activities.
这些工具还可以通过使用不同的IP地址和位置来伪装自己,这使目标系统更难识别和阻止这些可疑活动。
A successful brute force attack can give hackers access to your website’s 管理区. They can install backdoor, malware, steal user information, and delete everything on your site.
成功的暴力攻击可以使黑客访问您网站的管理区 。 他们可以安装后门程序,恶意软件,窃取用户信息并删除您网站上的所有内容。
Even unsuccessful brute force attacks can wreak havoc by sending too many requests which slows down your WordPress 托管 servers and even crash them.
即使是不成功的暴力攻击也可能通过发送过多请求而造成严重破坏,这会减慢WordPress 托管服务器的速度甚至崩溃。
话虽这么说,让我们来看看如何保护您的 WordPress 网站免受暴力攻击。
话虽如此,让我们来看看如何保护您的 WordPress 网站免受暴力攻击。
步骤1.安装WordPress防火墙插件 (Step 1. Install a WordPress Firewall Plugin)
暴力攻击会给您的服务器带来大量负载。即使不成功,也会降低您的网站速度或使服务器完全崩溃。这就是为什么在它们到达您的服务器之前阻止它们很重要。
暴力攻击会给您的服务器带来很大的负担。即使网站出现故障也会减慢您的网站速度或使您的服务器完全崩溃。这就是为什么在它们到达您的服务器之前阻止它们很重要。
为此,您需要一个网站防火墙解决方案。防火墙会过滤掉不良流量并阻止其访问您的站点。
为此,您需要一个网站防火墙解决方案。防火墙会过滤掉不良流量并阻止其访问您的站点。
您可以使用两种类型的网站防火墙。
您可以使用两种类型的网站防火墙。
应用层防火墙 – These firewall plugins examine the traffic once it reaches your server but before loading most WordPress scripts. This method is not as efficient because a brute force attack can still affect your server load.
应用层防火墙 –这些防火墙插件会在流量到达您的服务器后但在加载大多数WordPress脚本之前检查流量。 此方法效率不高,因为蛮力攻击仍会影响服务器负载。
DNS 级网站防火墙 – These firewall route your website traffic through their cloud proxy servers. This allows them to only send genuine traffic to your main web hosting server while giving a boost to your WordPress 的速度和性能.
DNS级别网站防火墙 –这些防火墙通过其云代理服务器路由您的网站流量。 这使他们只能将真正的流量发送到您的主Web托管服务器,同时提高WordPress 的速度和性能 。
We recommend using 苏库里. It is the industry leader in website security and the 最好的 WordPress 防火墙 in the market. Since it’s a DNS level website firewall, it means all your website traffic goes through their proxy where bad traffic is filtered out.
我们建议使用苏库里 。 它是网站安全性和市场上最好的 WordPress 防火墙的行业领导者。 由于它是DNS级别的网站防火墙,因此意味着您的所有网站流量都通过其代理进行过滤,从而过滤掉不良流量。
We use 苏库里 on our website, and you can read our 完整的 Sucuri 评论 to learn more.
我们在网站上使用苏库里 ,您可以阅读我们完整的 Sucuri 评论以了解更多信息。
步骤2.安装WordPress更新 (Step 2. Install WordPress Updates)
Some common brute force attacks actively target known vulnerabilities in older versions of WordPress, 流行的 WordPress 插件, or themes.
一些常见的暴力攻击主动针对较旧版本的WordPress, 流行的 WordPress 插件或主题中的已知漏洞。
WordPress core and most popular WordPress plugins are 开源 and vulnerabilities are often fixed very quickly with an update. However if you fail to install updates, then you leave your website vulnerable to those old threats.
WordPress核心和最流行的WordPress插件都是开源 ,漏洞通常可以通过更新非常Swift地得到修复。 但是,如果无法安装更新,则您的网站容易受到那些旧威胁的攻击。
Simply go to 仪表板 » 更新 page in WordPress admin area to check for available updates. This page will show all updates for your WordPress core, plugins, and themes.
只需转到WordPress管理区域中的仪表板 » 更新页面,以检查可用更新。 此页面将显示WordPress核心,插件和主题的所有更新。
For more details, see our guide on how to 正确更新 WordPress 插件.
有关更多详细信息,请参阅有关如何正确更新 WordPress 插件指南 。
步骤3.保护WordPress管理员目录 (Step 3. Protect WordPress Admin Directory)
大多数对 WordPress 网站的暴力攻击都是试图访问 WordPress 管理区域。您可以在服务器级别的 WordPress 管理目录上添加密码保护。这将阻止未经授权的访问您的 WordPress 管理区域。
大多数对 WordPress 网站的暴力攻击都会尝试访问 WordPress 管理区域。您可以在服务器级别的 WordPress 管理目录上添加密码保护。这将防止未经授权访问您的 WordPress 管理区域。
只需登录您的 WordPress 托管控制面板 (cPanel),然后单击“文件”部分下的“目录隐私”图标。
只需登录您的 WordPress 托管控制面板 (cPanel),然后单击“文件”部分下的“目录隐私”图标即可。
笔记: We’re using 蓝主机 in our screenshot but similar settings are available on other top hosting companies as well like 站点地面, 主机鳄鱼, etc.
注意:我们在截图中使用的是蓝主机 ,但是其他顶级托管公司以及站点地面 , 主机鳄鱼等也可以使用类似的设置。
接下来,您需要找到 wp-admin 文件夹并单击文件夹名称。
接下来,您需要找到 wp-admin 文件夹并单击文件夹名称。
cPanel 现在会要求您提供受限文件夹的名称、用户名和密码。输入此信息后,单击“保存”按钮来存储您的设置。
cPanel 现在会要求您提供受限文件夹的名称、用户名和密码。输入此信息后,单击“保存”按钮来存储您的设置。
您的 WordPress 管理目录现已受密码保护。当您访问 WordPress 管理区域时,您将看到新的登录提示。
您的 WordPress 管理目录现已受密码保护。当您访问 WordPress 管理区域时,您将看到新的登录提示。
If you run into a 404错误 or 错误太多重定向 message, then you need to add the following line to your WordPress .htaccess 文件.
如果您遇到404错误或重定向错误太多消息,则需要将下行添加到WordPress .htaccess 文件 。
ErrorDocument 401 default
For more details, see our article on how to 密码保护 WordPress 管理目录.
有关更多详细信息,请参阅有关如何关于密码保护 WordPress 管理目录的文章 。
步骤4.在WordPress中添加两因素身份验证 (Step 4. Add Two-Factor Authentication in WordPress)
双因素身份验证为您的 WordPress 登录屏幕添加了额外的安全层。基本上,用户需要使用手机生成一次性密码以及登录凭据才能访问 WordPress 管理区域。
双因素身份验证为您的 WordPress 登录屏幕添加了额外的安全层。基本上,用户需要使用手机生成一次性密码以及登录凭据才能访问 WordPress 管理区域。
添加双因素身份验证将使黑客更难获得访问权限,即使他们能够破解您的 WordPress 密码。
添加双因素身份验证将使黑客更难获得访问权限,即使他们能够破解您的 WordPress 密码。
For detailed step by step instructions, see our guide on how to 如何在 WordPress 中添加双因素身份验证
有关详细的分步说明,请参阅有关如何在 WordPress 中添加双因素身份验证的指南
步骤5.使用唯一的强密码 (Step 5. Use Unique Strong Passwords)
密码是访问 WordPress 网站的密钥。您需要为您的所有帐户使用唯一的强密码。强密码是数字、字母和特殊字符的组合。
密码是访问 WordPress 网站的关键。您需要为所有帐户使用强而独特的密码。强密码是数字、字母和特殊字符的组合。
重要的是,不仅要为 WordPress 用户帐户使用强密码,还要为 FTP、Web 托管控制面板和 WordPress 数据库使用强密码。
重要的是,不仅要为 WordPress 用户帐户使用强密码,还要为 FTP、Web 托管控制面板和 WordPress 数据库使用强密码。
大多数初学者问我们如何记住所有这些独特的密码?好吧,你不需要。有一些优秀的密码管理器应用程序可以安全地存储您的密码并自动为您填写。
大多数初学者问我们如何记住所有这些独特的密码?好吧,你不需要。有一些很棒的密码管理器应用程序可以安全地存储您的密码并自动为您填写。
To learn more, see our beginner’s guide on 管理 WordPress 密码的最佳方法.
要了解更多信息,请参阅有关管理 WordPress 密码的最佳方法初学者指南。
步骤6.禁用目录浏览 (Step 6. Disable Directory Browsing)
默认情况下,当您的网络服务器找不到索引文件(即像index.php或index.html这样的文件)时,它会自动显示一个索引页面,显示该目录的内容。
默认情况下,当您的网络服务器找不到索引文件(即index.php或index.html等文件)时,它会自动显示一个索引页面,显示该目录的内容。
在暴力攻击期间,黑客可以使用目录浏览来查找易受攻击的文件。要解决此问题,您需要在 WordPress .htaccess 文件的底部添加以下行。
在暴力攻击期间,黑客可以使用目录浏览来查找易受攻击的文件。要解决此问题,您需要在 WordPress .htaccess 文件的底部添加以下行。
Options -Indexes
For more details, see our article on how to 在 WordPress 中禁用目录浏览.
有关更多详细信息,请参见有关如何在 WordPress 中禁用目录浏览文章。
步骤7.禁用特定WordPress文件夹中PHP文件执行 (Step 7. Disable PHP File Execution in Specific WordPress Folders)
黑客可能想要在您的 WordPress 文件夹中安装并执行 PHP 脚本。 WordPress 主要是用 PHP 编写的,这意味着您无法在所有 WordPress 文件夹中禁用它。
黑客可能希望在 WordPress 文件夹中安装并执行 PHP 脚本。 WordPress 主要是用 PHP 编写的,这意味着您无法在所有 WordPress 文件夹中禁用它。
但是,有些文件夹不需要任何 PHP 脚本。例如,您的 WordPress 上传文件夹位于 /wp-content/uploads。
但是,某些文件夹不需要任何 PHP 脚本。例如,您的 WordPress 上传文件夹位于 /wp-content/uploads。
您可以安全地禁用上传文件夹中的 PHP 执行,这是黑客用来隐藏后门文件的常见位置。
您可以安全地禁用上传文件夹中的 PHP 执行,这是黑客隐藏后门文件的常用位置。
首先,您需要在计算机上打开记事本等文本编辑器并粘贴以下代码:
首先,您需要在计算机上打开文本编辑器(例如记事本)并粘贴以下代码:
<Files *.php>
deny from all
</Files>
Now, save this file as .htaccess and upload it to /wp-content/uploads/ folders on your website using an FTP客户端.
现在,将该文件另存为.htaccess并使用FTP客户端将其上传到您网站上的/ wp-content / uploads /文件夹中。
步骤8.安装和设置WordPress备份插件 (Step 8. Install and Setup a WordPress Backup Plugin)
备份是 WordPress 安全工具库中最重要的工具。如果所有其他方法都失败了,那么备份将允许您轻松恢复您的网站。
备份是 WordPress 安全工具库中最重要的工具。如果一切都失败了,备份将让您轻松恢复您的网站。
Most WordPress 托管 companies offer limited backup options. However, these backups are not guaranteed, and you are solely responsible for making your own backups.
大多数WordPress 托管公司提供有限的备份选项。 但是,不能保证这些备份,并且您应全权负责制作自己的备份。
There are several great WordPress 备份插件, which allow you to schedule automatic backups.
有几个很棒的WordPress 备份插件 ,可让您安排自动备份。
We recommend using 上升气流增强版. It is beginner friendly and allows you to quickly setup automatic backups and store them on remote locations like Google Drive, Dropbox, Amazon S3, and more.
我们建议使用上升气流增强版 。 它适合初学者,可让您快速设置自动备份并将其存储在远程位置,例如Google Drive,Dropbox,Amazon S3等。
For step by step instructions, see our guide on how to 如何使用 UpdraftPlus 备份和恢复您的 WordPress 网站
有关逐步说明,请参阅我们的指南,了解如何使用 UpdraftPlus 备份和恢复您的 WordPress 网站
All above-mentioned tips will help you protect your WordPress site against brute force attacks. For a more comprehensive security setup, you should follow the instructions in our WordPress 终极安全指南 for beginners.
所有上述技巧将帮助您保护WordPress网站免受暴力攻击。 要获得更全面的安全设置,您应该按照初学者的WordPress 终极安全指南中的说明进行操作。
We hope this article helped you learn how to protect your WordPress site from brute force attacks. You may also want to look out for the 迹象表明您的 WordPress 已被黑客入侵 and 如何修复被黑的 WordPress 网站.
我们希望本文能帮助您学习如何保护WordPress网站免受暴力攻击。 您可能还需要注意WordPress 被黑了的符号以及如何修复被黑的 WordPress 网站 。
If you liked this article, then please subscribe to our YouTube 频道 for WordPress video tutorials. You can also find us on 推特 and Facebook.
如果您喜欢这篇文章,请订阅我们的YouTube 频道 WordPress视频教程。 您也可以在推特和Facebook上找到我们。
WordPress 攻击思路