如何保护WordPress免受暴力攻击？

使用暴力破解攻击网站是一种古老的技术，在互联网上依然存在。

暴力破解攻击可能会接管您的website down并干扰您的在线业务，如果没有必要的预防措施。

暴力破解攻击可以使用人类或机器人来进行，通过不断尝试使用猜测的凭据登录到您的WordPress网站。

当登录页面没有受到保护时，情况会变得更糟，一些研究发现每分钟有数千次尝试登录到wp-login.php。

让我们来看一下SUCURI的图表。

每小时超过100万次攻击！

这是巨大的！

几天前，我收到了42封有关由于暴力破解攻击导致的站点锁定的电子邮件通知。这种情况可能会发生在您身上。

有多种方法可以防止暴力破解攻击，以下是一些您可以遵循的方法。

隐藏WordPress登录

在设置您的网站之后，您应该考虑做的第一件事是隐藏登录区域。

默认情况下，WordPress登录页面可以通过以下方式访问：

•  /wp-login.php
• /login
• /wp-admin
• /admin

现在隐藏您正在使用的WordPress和登录区域是很容易的。

因此，如果坏人知道您正在使用WordPress并且登录区域没有隐藏，他们可以轻松访问登录页面并准备进行暴力破解攻击。

让我们使用以下插件隐藏WordPress登录区域。您可以选择任何一个。

WPS Hide Login

WPS Hide Login是一个轻量级插件，已经安装了超过400,000次。此插件将帮助您将登录URL更改为您希望的任何内容。

更改登录URL后，如果有人尝试访问wp-admin/wp-login.php/login/admin，那么它将显示一个404错误页面。

iThemes Security

这款付费插件提供全面的WP安全保护。

iThemes让坏人离开。一些显着的功能包括：

• 暴力破解防护
• 锁定可疑用户
• 隐藏登录URL
• 双层身份验证
• 恶意软件扫描
• 数据库备份

只需进行最小设置即可使用。

Malcare

符合GDPR的Malcare是一个一体化的WordPress安全保护插件。它可以全天候提供登录防护，并远离恶意流量。

Malcare不仅提供暴力破解防护，还提供其他功能，如恶意软件扫描、恶意代码移除、智能网络防火墙、一键加固等。您可以从每年99美元起开始使用。这是保护您在线业务的值得投资。

实施双因素身份验证

双因素身份验证为您的WordPress网站添加了额外的安全层。除了您的凭据外，您还需要提供一次性密码（OTP）。

您可以使用以下插件实现此目标。

Two-Factor

一款出色且轻量级的plugin可让您为WP管理员、贡献者等实施双因素身份验证。

您可以设置基于电子邮件、Google Authenticator、U2F的身份验证。

Google Authenticator

顾名思义，如果您想要基于Google Authenticator的OTP登录，您可以使用此plugin。

启用插件并设置身份验证后，在登录WP管理界面时，您应该看到上面的屏幕。

上述技术是基于插件的，但您也可以考虑使用基于云的安全提供商进行保护。

基于云的安全

为什么选择基于云的安全？

使用插件来保护您的网站意味着所有流量，包括恶意流量，都会到达WordPress服务器。想象一下，您接收大量无用的流量。

通过使用基于云的保护，您的WordPress服务器只接收合法的流量。所有机器人、垃圾邮件和可疑请求都会在安全提供商网络中被终止。

听起来不错吧？

有几个选项，但以下是两个受欢迎的选项。

SUCURI

SUCURI专门从事网站防病毒和防火墙。他们帮助您阻止黑客攻击、DDoS攻击、清除黑客攻击，并为您的网站提供完全的安全保护，包括防御暴力破解攻击。

SUCURI的WordPress安全性可能是您保护网站免受暴力破解和许多其他安全漏洞的唯一需要的东西。 SUCURI的好处是它还支持许多其他平台，如Joomla、Drupal、Magento、PHP，因此，如果将来更改网站技术，您不需要为安全性再花费更多的钱。

Cloudflare

这是一家受欢迎的CDN和安全提供商之一。 PRO计划中包含了Cloudflare WAF，每月收费20美元。

您将获得所有标准的安全保护，如DDoS、OWASP前10名漏洞、垃圾邮件、恶意机器人、暴力破解等。

结论

保护您的网站至关重要，如果您想减轻暴力破解攻击，请使用上述列出的插件之一。然而，如果您真正在寻找一个完整的安全解决方案，那么选择基于云的安全性。这是值得的！

保持安全！