無論您是剛接觸 WordPress 還是已經有豐富經驗的開發人員,您都可能會對你的網站遭受攻擊的頻率與次數感到驚訝。也許你會想知道到底是誰,到底為什麼他們要針對你您可能還想知道是誰或什麼人在從事這種活動–更不用說他們為什麼要針對您了。
答案其實很簡單。在大多數情況下,對你展開攻擊的都是自動化的程序機器人。而您之所以成為目標,僅僅是因為您剛好是以 WordPress 作為架站工具如此而已。作為目前最流行(超過全世界30%的網站)的內容管理系統(CMS),想要它直接處於惡意行為者的視線內。儘管周圍有各種各樣的攻擊,但暴力攻擊是最受歡迎的攻擊之一。
什麼是暴力攻擊
我們可以從維基百科上看到關於蠻力攻擊的介紹:
暴力攻擊(英語:Brute-force attack),又稱為窮舉攻擊(英語:Exhaustive attack)或暴力破解,是一種密碼分析的方法,即將密碼進行逐個推算直到找出真正的密碼為止。
簡單講就是它會在 WordPress 的登錄頁面反覆測試用戶名與密碼。每天可能會看到數百甚至數千次這樣的嘗試或是直到你把它的 IP 封掉。
當然,如果這完全是隨機的,那麼使用這種技術成功登錄網站將非常困難。但是,這些攻擊有時可以起作用的主要原因有兩個:
- 使用超級通用的用戶名和密碼。
- 使用以前在其他地方洩漏的資料。
如果這兩種情況中的任何一種都存在,則會增加成功攻擊的機率。一旦攻擊者訪問了您的 WordPress 後台,他們便會造成各種破壞。
但是即使不成功,這些攻擊也十分麻煩,增加困擾也浪費主機資源。
如何反擊
值得慶幸的是,您可以採取許多措施來更好地保護 WordPress 網站免受暴力攻擊。最基本的做法是建立常識性安全措施,例如使用強密碼和避免使用 admin 作為用戶帳號。僅這些步驟就至少會使您的網站更難以破解。
但是,您可以採取一些更強有力的措施,包括:
限制訪問登錄頁面
根據您的主機的設置,您可能會考慮阻止對 WordPress 登錄頁面的訪問,但特定組或 IP 地址範圍除外。例如,在 Apache 服務器上,可以通過 .htaccess 文件完成此操作。
需要注意的是,該策略取決於管理員具有靜態 IP 地址。在公司環境中,可能會是這種情況。但是,其他情況可能會使此方法更加困難。官方的 WordPress 文檔還有一些進一步的建議可以參考。
另一種方法是在服務器級別用密碼保護登錄頁面。儘管這帶來了一些不便,但確實有助於確保只有授權用戶才能訪問儀表板。
使用插件
有許多專用於安全的WordPress插件,其中一些提供的功能可以防止暴力攻擊。比如:
Wordfence 採用了幾種特定於登錄的措施,例如兩因素身份驗證,reCAPTCHA和暴力保護。還有一個配套插件,專門用於登錄安全性。
Login LockDown 是一個旨在限制暴力破解嘗試的插件。在一定數量的失敗登錄後,它會自動鎖定有問題的IP地址。
iThemes Security 提供了幾個登錄相關的保護,包括強力保護,雙因素認證和重命名/wp-admin/文件夾的能力,以阻止機器人。
使用CDN /防火牆
內容交付網絡(CDN)不僅可以提高您網站的性能,而且還具有阻止惡意機器人與 WordPress 之間的屏障的作用。
CDN提供程序通常包括阻止IP地址甚至整個國家訪問您的站點的方法。根據您使用的服務,可能還會有專門針對阻止暴力攻擊的保護措施。
這種方法的優點在於,您可以大大減輕Web服務器上的負載。怎麼樣?攻擊者在到達您的站點之前已被CDN的防火牆阻止。
當涉及到安全性時,要積極主動
不幸的是,你沒有辦法避免暴力攻擊,因為這些攻擊無處不在而且毫無規律的。因此,所以你必須自己主動採取預防措施,幸運的是,這並不困難。上面的選項雖然不是100%完美,但是卻很容易做到。每個人都使普通的機器人更難實現它們的目的。而且,現在減輕這些攻擊的成本要比以後處理被黑網站的成本低得多。僅憑這一點,就應該積極主動地區實施防範措施。
