应对WordPress暴力攻击的八大对策

暴力攻击是一种通过反复试验来尝试解锁受密码保护的网页的方法。劫持者使用精密的机器人猜测登录、注册和其他页面表格上的用户名和密码，并试图接管网站。机器人不断试图猜测凭证，并在您的服务器上增加大量负载。

因此，即使不考虑安全性，也必须停止这些机器人/用户，以减轻托管服务器的负载。在本文中，我们来讨论如何在WordPress中防止暴力攻击。

停止WordPress中的暴力攻击

在WordPress中有不同的方法来保护你的登陆页面和阻止暴力攻击。但是，您需要一个插件来启用这些功能。在本文中，我们将主要使用Jetpack和All In One WP安全和防火墙插件。

有时你的主机公司可能会为此提供一个专用的插件。例如，在使用SiteGround托管时，可以使用SiteGround安全插件。

1.使用Jetpack插件来防止暴力

Jetpack提供了很多模块，“安全”是防止暴力攻击的模块之一。

进入管理面板中的Jetpack >设置菜单。

当您进入“安全”部分时，向下滚动并激活“保护”模块。

在Jetpack中启用暴力攻击保护

启用后，Jetpack将自动保护您的网站，登录表单上没有任何可见的验证码。

此外，您可以点击“保护”选项，并添加一个IP地址列表，以允许访问您的登录页面。该插件只允许列出的IP地址访问你的WordPress登录页面，所有其他IP地址将被阻止登录到管理仪表板。

Jetpack中的白名单IP

2.使用一体式WP安全和防火墙插件来防止暴力

Jetpack的暴力预防非常简单，没有太多其他选择。一个WP安全和防火墙插件是一个受欢迎的免费安全插件，它有助于有效地保护你的WordPress网站。从你的WordPress仪表盘安装并激活插件。它将在管理面板的侧边栏上创建一个新菜单“WP安全”。

搜索所有在一个WP安全和防火墙插件

这个插件用点数来衡量你的网站的安全性，激活各种安全选项会增加点数。为了防止暴力开心，请导航到“WP安全>暴力”部分查看一些选项，如下所示:

暴力攻击防范选项

在使用任何安全设置进行处理之前，请确保满足以下条件:

使用站点文件和数据库来备份整个站点。该插件将创建数据库表和修改网站文件，如。htaccess。

确保您可以通过FTP访问您的主机服务器。当您被锁定在管理控制面板之外并且无法登录时，这是恢复文件所必需的。

仅当该选项适用且您需要时，才启用它。

我们将在接下来的章节中解释这个插件的其他可用选项。

3.重命名登录页面。

传递后缀“/wp-admin/”或“/wp-login.php？Action=login”到你的站点，你可以很容易地访问WordPress登录页面。因为任何人都可以使用其中一个URL访问您的网站，所以防止暴力的第一步是重命名登录页面。选中“启用重命名登录功能”框，并提供难以猜测的所需字符串。

重命名WordPress登录页面

例如，如果要将登录页面URL更改为“yoursite.com/login/”，请在文本框中输入单词“login”。

重命名登录页面会将您注销，您需要使用新的URL再次登录。

此功能将影响所有用户，因此如果您已经注册用户或需要注册才能在您的网站上发表评论，请不要激活它。

该特性将影响使用默认登录页面的任何其他插件的功能。

4.基于Cookie的暴力预防

防止暴力攻击的下一个选择是基于浏览器上可用的cookie。启用“启用暴力攻击防护”复选框，并在下一个“密码”文本框中提供密码。

WordPress中基于Cookie的暴力登录防护

比如要添加密码为“test”，登录网址就会是“http://yoursite.com/？”测试=1英寸.可以放“/？Secret-word=1 “添加到您的网站URL，以访问登录页面。此外，您可以设置“重定向URL”将未授权用户重定向到此页面。通常，您可以将其设置为本地主机IP地址“http://127.0.0.1”以防止服务器负载。如果您有受密码保护的页面，请启用“我的网站有受密码保护的文章或页面”复选框。

如果您有一个使用Ajax的主题或插件，启用复选框“我的站点有一个使用Ajax的主题或插件”。通常大多数主题和插件都使用Ajax，所以你应该启用这个选项并测试你的站点是否正确加载。

这种方法类似于重命名登录页面，因此上述所有警告也适用于这种方法。

因为“重命名登录页面”和“基于cookie的暴力预防”方法都会更改登录页面URL，所以您可以在您的站点上一次使用其中一种方法。

5.登录验证码

由于前两个选项会影响多用户环境，例如具有登录、注册和电子商务功能的网站，因此仅启用验证码是您可以用来阻止暴力攻击的最简单方法之一。在此部分，您有三个选项来启用表单上的数学验证码:

给默认的WordPress登录页面添加一个验证码。

在使用WordPress功能“wp_login_form()”的网站上使用的所有表单上启用验证码。

启用丢失密码申请表上的验证码。

所有WP安全插件中登录验证码的设置

6.登录白名单

类似于Jetpack的白名单管理，All in One WP Security & Firewall插件也提供了“登录白名单”选项。这将只允许列出的IP地址访问你的WordPress登录页面，而所有其他的IP地址将被阻止。

使用All in One WP安全插件设置登录IP白名单。

7.蜜罐保护

最后一个选项是启用“在登录页面启用蜜罐”。这将在登录表单上设置一个新字段，人类用户不可见，只有机器人可见。由于机器人用于填写登录表单上的所有字段，如果隐藏字段被填写，插件将停止访问。因此，有效地停止机器人是有帮助的。

WordPress登录页面的蜜罐设置

8.限制登录尝试。

限制登录尝试是防止暴力攻击WordPress的主要解决方案。所有一个WP安全插件也有限制登录尝试次数的选项。但是，如果你不想使用沉重的插件，你可以使用专门的插件来限制登录尝试。例如，您可以使用限制登录尝试来重新加载插件，以配置任何人可以尝试登录的允许尝试次数。如果达到限制，插件将截取IP地址并通知管理员。这样，您可以允许合法用户登录，同时在多次尝试后阻止自动机器人。

总结

在一个WP安全和防火墙插件提供了一个详细的方法来保护你的WordPress网站。虽然这看起来很吸引人，但是一定要测试每个特性，并且只在你的站点需要的时候使用它。重命名登录页面，基于cookie的选项和IP白名单可以用于个人用户网站，无需用户注册。剩下的选项，比如启用登录验证码和蜜罐，可以在所有类型的网站上使用，没有任何问题。你也可以同时使用“Jetpack”和“All in One WP Security & Firewall”插件来阻止对你网站的暴力攻击。