无论您是刚接触WordPress还是经验丰富的开发人员,您都可能会对网站遭受攻击的频率感到惊讶。您可能还想知道是谁或什么人在从事这种活动–更不用说他们为什么要针对您了。
答案很简单。在大多数情况下,坏演员是自动机器人。而您之所以成为目标,仅仅是因为您碰巧正在运行WordPress。作为目前最流行的内容管理系统(CMS),它直接处于恶意行为者的视线内。尽管周围有各种各样的攻击,但暴力攻击是最受欢迎的攻击之一。而这恰恰是我们今天的主题。推荐阅读:《如何完全清理和恢复被黑的WordPress网站》
什么是蛮力攻击
我们可以从维基百科上看到关于蛮力攻击的介绍:蛮力攻击(英语:Brute-forceattack)[1],又称为穷举攻击(英语:Exhaustiveattack)或暴力破解,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。在现实世界中,这意味着恶意脚本会反复运行,并在WordPress登录页面中输入用户名和密码。每天可能会看到数百甚至数千次这样的尝试。
当然,如果这完全是随机的,那么使用这种技术成功登录网站将非常困难。但是,这些攻击有时可以起作用的主要原因有两个:
使用弱登录凭据,例如使用超级通用的用户名和密码。
使用以前在其他地方泄漏的凭据。
如果这两种情况中的任何一种都存在,则会增加成功攻击的几率。一旦攻击者访问了您的WordPress仪表板,他们便会造成各种破坏。推荐阅读:《如何确保插件不影响WordPress网站的稳定性》
但是,即使不成功,这些攻击也可能既烦人又浪费服务器资源。因此,重要的是要制定可以帮助减轻其损害的策略。值得庆幸的是,您可以采取许多措施来更好地保护WordPress网站免受暴力攻击。最基本的做法是建立常识性安全措施,例如使用强密码和“admin”以外的任何其他内容作为用户名。仅这些步骤就至少会使您的网站更难以破解。但是,您可以采取一些更强有力的措施,包括:
限制访问登录页面
根据您的Web服务器的设置,您可能会考虑阻止对WordPress登录页面的访问,但特定组或IP地址范围除外。例如,在Apache服务器上,可以通过.htaccess文件完成此操作。需要注意的是,该策略取决于管理员具有静态IP地址。在公司环境中,可能会是这种情况。但是,其他情况可能会使此方法更加困难。官方的WordPress文档还有一些进一步的建议,值得一看。另一种方法是在服务器级别用密码保护登录页面。尽管这带来了一些不便,但确实有助于确保只有授权用户才能访问仪表板。
使用插件
有许多专用于安全的WordPress插件,其中一些提供的功能可以防止暴力攻击。比如:Jetpack 的“保护 ”功能可阻止不必要的登录尝试。(国内网站不推荐用Jetpack,因为某些资源无法在国内加载和使用)
Wordfence采用了几种特定于登录的措施,例如两因素身份验证,reCAPTCHA和暴力保护。还有一个配套插件,专门用于登录安全性。LoginLockDown是一个旨在限制暴力破解尝试的插件。在一定数量的失败登录后,它会自动锁定有问题的IP地址。iThemesSecurity 提供了几个登录相关的保护,包括强力保护,双因素认证和重命名/wp-admin/文件夹的能力,以阻止机器人。推荐相关阅读:《提高WordPress网站性能的五种方法》