保护您的 WordPress 网站免受暴力攻击的 8 个技巧

超过一半围绕内容管理系统 (CMS) 创建的网站都是基于 WordPress 构建的。它非常受欢迎，因为它相对容易安装、使用和定制。不幸的是，这种流行也使其成为网络攻击的目标。

根据 Sucuri 报告，WordPress CMS 已成为最常见的受感染 CMS，感染率从 2016 年第三季度的 74% 上升到 2017 年的惊人 83%。这些感染通常导致它们被用作攻击中僵尸网络的一部分其他网站的。例如，2018 年 12 月，Defiant 开始追踪一项基于有组织的暴力攻击的此类活动。

暴力攻击如何运作

暴力攻击是 WordPress 网站可能面临的最低级别的攻击之一。基本上，攻击者使用旨在通过不断尝试使用常用用户名和密码登录来访问 WordPress 网站的方法（通常是自动化的）。

攻击者所做的就是利用一个字典文件，其中列出了数百个顶级用户名和密码，并在 WordPress 网站上尝试每一个。攻击脚本将一遍又一遍地执行此操作，直到它使用匹配的登录凭据组合访问您的站点或密码列表用尽。

除非您在 WordPress 驱动的网站上采取了预防措施，否则此类攻击只需几分钟即可完成。

您可以采取哪些措施来防止暴力攻击

最危险的事情就是袖手旁观，什么也不做，对于 WordPress 等可配置软件尤其如此。以您用来访问站点的登录页面为例，这是攻击脚本尝试开始攻击的第一个地方。

让我们看看您可以采取哪些措施来保护自己免受网站暴力攻击。

1. 更改您的登录页面 URL

大多数尝试使用暴力方法的攻击都会首先尝试默认设置。对于 WordPress，这意味着要访问登录页面，他们将尝试访问 /wp-admin 或 /wp-login，这是您通常输入用户名和密码的地方。

值得庆幸的是，WordPress 很棒，因为您不必成为专家编码员就能做很多事情。要更改您的登录页面，您所需要做的就是使用 WPS Hide Login 等插件。这个简单的插件轻巧且易于使用，并将您的登录 URL 更改为您指定的任何内容。

2.寻找安全的虚拟主机

大多数人会根据性能和成本参数来选择托管提供商，但越来越需要注意另一个维度——安全性。信誉良好的网络托管解决方案提供商一直在关注，不仅加强其内部解决方案，同时还为客户提供建议。

以 InMotion Hosting 为例，该公司不仅部署了更高的安全性，而且还帮助客户解决网站被黑客攻击的问题。

如果您已经采用了托管计划，但发现它不符合您的期望，请不要担心。切换网络主机比您想象的要容易，许多顶级网络主机甚至可以帮助您免费迁移网站！

3.定期测试您的网站

除了采取预防措施来保护您的网站免受攻击之外，您还应该测试这些措施。安全审核和网络安全专家可能会花费很多费用，因此您可能需要使用一些工具，例如 WPScan。这个免费工具允许您模拟对您的网站的单个或多个用户名攻击。

如果您对查找密码字典等零碎内容或使用命令行工具感到不舒服，您也可以选择使用漏洞扫描器，例如 Hacker Target 提供的扫描器。

他们有一个免费的在线工具，您只需输入要测试的 URL 即可使用该工具，并且对于低影响测试是免费的。

4.安装一个好的安全插件

WordPress 有大量可用的安全插件，可以真正增强站点的防御能力。寻找 Malcare 等信誉良好的公司提供的产品，可以帮助您防范多种形式的攻击。

Malcare 是一款极其全面的工具，提供企业级安全功能，价格低至每月 8.25 美元。它不仅提供暴力保护等基本功能，而且您还可以执行 IP 黑名单、网站强化和防火墙管理等活动。

5.使用复杂的密码

说实话，我真的觉得这件事没有必要再说一遍。不幸的是，在很多情况下，我看到人们仍然使用“管理员”或“用户名”作为用户名，这很令人痛苦。

理想情况下，请使用复杂的用户名和/或密码组合。良好的组合应包括大写和小写字符、数字以及特殊字符。如果记住非常复杂的东西对您来说很难，请尝试一些独特的东西，例如“P455Word！”至少。这并不理想，但可能有助于挽救您的网站。

6.使用双因素身份验证

双因素身份验证 (2FA) 是一种可以有效提高网站安全性的方法。顾名思义，它涉及两次检查您的登录凭据。如今，许多银行和金融机构都使用这种方法来验证其客户。

举个例子；您尝试登录您的 WordPress 网站并且您的用户名和密码正确。然后，系统将验证码发送到您可以访问的其他地方（电子邮件地址或手机号码），并且您需要该验证码才能登录。

这是防御暴力攻击的一种非常有效的方法，并且 WordPress 有大量免费的 2FA 插件可供您使用。

7.使用验证码

WordPress 网站有一个非常简单且有效的第一道防线，那就是 BestWebSoft 的 reCAPTCHA 插件。这是一种验证方法，通过要求您在登录过程中执行其他任务或活动来确保您是人类。

例如，它可能会显示基于图像的身份验证代码，一旦该代码显示在屏幕上，您就必须输入该代码。这些方法用于帮助击败自动攻击脚本。当然，它可能无法抵御旨在淹没您的网站的攻击，但它仍然是一个很好的初始防御机制。

8. 设置 CloudFlare CDN

Cloudflare 是一个内容分发网络 (CDN)，如果负载较重，它可以帮助您从多个服务器提供网站内容。这对于暴力攻击也有一个有趣的副作用。尽管暴力攻击旨在获取网站访问权限，但有时登录尝试会压垮网站。

拥有像 Cloudflare 这样的 CDN 将意味着您的网站变得更有弹性，并提供暴力攻击可能耗尽的额外资源。它还具有其他功能，例如速率限制，可阻止用户在特定时间范围内尝试向站点发送过多登录请求。

结论

WordPress 的安全性是许多人经常忽视的事情，但为时已晚。因为它是在线的而不是物理的，所以很少有人认为在网站上需要额外的挂锁，而一扇门显然就足够了。

然而，除了可能失去对自己网站的控制之外，未能正确保护您的网站可能会导致其被用作攻击他人的工具。如今，确保您的网站安全不仅仅是一种需要，更是一种责任。

您可以利用比我在这里分享的更多方法来保护您的网站安全，其中许多都是免费的。我希望您认真考虑这一点，并采取必要的措施使网络变得更安全。

最后但并非最不重要的一点是，无论您做什么，请务必保留备份！