如何保护Joomla网站免受暴力攻击?
Joomla是第二大开源CMS平台,支持从小型到企业级的数百万个网站。
有很多方法可以攻击网站,其中一个流行的方法是暴力破解攻击。
正如您所看到的,在WhiteHat Security的最新报告中,它以第五名的身份脱颖而出。
暴力破解可以发生在任何其他平台,如WordPress、Magento、Drupal,甚至是服务器操作系统。从技术上讲,任何需要密码保护的平台/服务、API等都可能成为暴力破解攻击的受害者。
好消息是,与其他漏洞相比,减轻暴力破解攻击并不困难。
如果您正在运行基于Joomla CMS的博客、企业网站或eCommerce,并且正在寻找暴力破解缓解解决方案,那么以下内容将对您有所帮助。
管理方面的暴力破解保护
Admin brute force protection是一个由SiteGuarding开发的免费插件,用于保护/administrator登录免受机器人和脚本登录。
AdminExile
AminExile是最受好评的安全插件之一,它为保护Joomla网站提供了许多功能。
- 添加访问密钥-在Joomla管理员URL中包含额外的密钥
- 添加键值-在管理员URL中包含键和值
如果检测到暴力破解,阻止登录请求,并选择通过电子邮件通知管理员。
SUCURI
SUCURI Firewall是一家全方位的云安全服务提供商,可保护多平台网站免受暴力破解、恶意机器人、DDoS攻击、垃圾邮件、SQL注入等。
如果您正在寻找全面的Joomla安全解决方案,那么SUCURI是一个不错的选择。它运行在全球分布的任播网络上,这意味着您可以获得保护,并享受全球CDN性能优化。
阻止暴力破解
Brute Force Stop是另一个免费扩展,可以让您配置阻止阈值和阻止持续时间。
- 阻止阈值-在多少次尝试后将IP地址阻止
- 阻止持续时间-IP地址将在阻止列表中保持多长时间
您还可以配置阻止消息、配置通知等选项。
启用双因素身份验证
从Joomla 3.2开始,您可以启用双因素身份验证,使用Google Authenticator和YubiKey身份验证方法,无需安装任何额外的插件。
双因素身份验证可以减少暴力破解尝试,是添加一层登录安全性的最佳方法之一。
RS Firewall
RS Firewall是一款高级安全扩展,可保护Joomla网站免受包括暴力破解在内的以下漏洞的攻击。
- SQL注入
- 跨站脚本
- 本地文件入侵
- 恶意软件
- 垃圾邮件
您可以启用记录所有被阻止的尝试,以便您可以查看日志并永久阻止可疑的IP地址。
RS Firewall还提供了一个选项,可以阻止大洲和国家。
您还可以考虑以下扩展。
Akeeba Admin Tools-一款用于维护、保护和优化Joomla网站的高级扩展。
Limit Login Attempts-限制登录尝试次数、阻止IP、限制锁定、锁定通知电子邮件等的免费插件。
DMC Firewall-密码保护管理员文件夹、执行健康检查、禁止可疑IP等。
Cloudflare WAF
Cloudflare是一家受欢迎的CDN和云安全解决方案提供商,适用于任何网站。
免费计划提供基本安全性;然而,如果你愿意花几美元,你可以选择PRO计划,该计划带有许多其他功能,包括<brute force protection。
暴力破解可能会对你的在线业务造成财务和声誉损失。我希望上述解决方案能帮助你保护你的Joomla网站免受暴力破解攻击。
保持安全!