如何阻止坏机器人:WordPress 用户指南

已发表: 2023-04-05

一半的互联网流量不是人类活动——而是机器人。 垃圾邮件机器人、搜索机器人、Twitter 机器人和 DDoS 机器人只是网络机器人的几种常见类型。 它们在网络世界中无处不在,而且并非所有都是坏的。 但其中一些是坏的,坏的机器人不仅仅是令人讨厌的东西。 它们会破坏您的 WordPress 网站的功能,减慢您的工作流程,并赶走您的用户或客户。

当需要阻止不良机器人干扰您的 WordPress 网站时,有些方法比其他方法更有效。 幸运的是,WordPress 为我们提供了几种处理机器人的实用解决方案。

在本指南中,我们将讨论什么是机器人、为什么有些机器人是好的、如何阻止坏的机器人以及如何防止它们损害您的 WordPress 网站。 要阻止易受攻击的 WordPress 网站吸引机器人,现在请花几分钟时间阅读本指南。 到最后,您将获得在 WordPress 中阻止不良机器人所需的答案。 让我们来看看。

什么是机器人?

您可能已经知道,术语“机器人”是“机器人”的缩写。 有时,人们将我们在这里讨论的机器人称为“互联网机器人”或“网络机器人”。 简而言之,机器人是一种软件,它作为一个人的独立用户代理或一个更大的命令和控制程序来指导许多机器人的行为。

出于好的和坏的原因,人们经常使用机器人来模拟真人浏览网络和执行重复性任务的活动。 机器人在执行日常任务时比人快得多,因此人们使用机器人快速、大规模地完成许多简单的事情。 一般来说,所有互联网流量的 40-50% 实际上是机器人与网页交互、直接与人交流、扫描特定内容或执行其他基本任务。

通常,您不会从这些机器人驱动的任务中获益。 你不想要它们,它们对你没有帮助。 它们是对服务器和能源资源的浪费。 更糟糕的是,有些是恶意的,这些机器人会持续构成威胁。

阻止不良机器人

机器人究竟是如何工作的?

在大多数情况下,机器人通过网络运行。 当机器人相互通信时,它们将使用不同的服务,如 IRC(互联网中继聊天),甚至是社交媒体平台中的直接消息系统。

遵循不同的算法集,这些算法集定义了他们的设计者对其进行编程的任务,机器人可以做任何事情,从与人交谈到从互联网上抓取网站内容。 最复杂的机器人试图模仿真实的人类行为,例如 Google Duplex。

机器人管理

使用机器人的个人和组织通常使用属于 Web 应用程序安全平台一部分的机器人管理软件。 Bot 管理器允许好的 bot 正常运行,同时阻止可能造成伤害的坏 bot。

当 bot 管理器发现可疑或已知的不良 bot 时,会将它们重定向到其保护的网站之外。 它的工作原理类似于 Web 应用程序防火墙。

机器人管理软件的一些更基本的功能包括 CAPTCHA(用于检测人与机器人)和 IP 速率限制,它限制来自一个 IP 地址的请求数量。

作为其功能的一部分,iThemes Security 使用验证码和其他方法检测和阻止机器人流量。

八种常见类型的机器人

有许多不同类型的机器人,每一种都有自己独特的任务和议程。

一些最常见的机器人包括:

  1. 聊天机器人模拟人类对话并像其他人一样与您互动。 最早的聊天机器人之一早于万维网——Eliza。 Eliza 是一个像 Rogerian 心理治疗师一样用更多问题回答问题的程序。
    • 基于规则的聊天机器人通过提供预定义的提示供人们选择来与人们互动。 智能独立的聊天机器人利用机器学习来学习和理解人类输入并对已知关键字做出响应。
    • AI(人工智能)聊天机器人结合了智能独立机器人和基于规则的机器人的特点。 这些复杂的 AI 机器人使用自然语言处理、模式匹配和自然语言生成工具,以非常逼真的方式复制人类交互。
  2. Shopbots代表用户扫描互联网。 Shopbot 的工作是为用户正在寻找的任何产品、项目或服务找到最低成本。 诸如 OpenSesame 之类的机器人会观察用户网站导航模式并为每个用户定制网站。
  3. 社交机器人在 Facebook、Twitter 和其他社交媒体平台上运行。
  4. Knowbots收集有关由控制它们的人定义的主题的特定信息。
  5. 爬虫和蜘蛛又名网络爬虫或网络蜘蛛是您可能遇到的最常见的机器人。 搜索引擎使用它们来映射和索引网站的结构和内容。
  6. Web 抓取爬虫收集数据并提取其他人为它们编写的程序以查找的内容。
  7. 交易机器人代表控制它们的人完成交易。
  8. 监控机器人监视网络或网站的整体健康状况。

每个类别中的机器人都服务于合法目的,例如测试、监控和保护系统。 当然,每个类别还可以包含恶意机器人程序。

好机器人

客户服务机器人可以每周 7 天、每天 24 小时提供服务。 对于回答常见问题和提供基本帮助,这是我们使用机器人的好方法。 它有助于释放客户服务人员,使他们能够专注于需要人工交互的更复杂的问题。

您可能与客户服务机器人(也称为虚拟代理或虚拟代表)进行过一些对话。 二十多年前,“Andrette”和“Shallow Red”是客户服务机器人的先驱。 它们属于第一代机器人,可以回答有关产品或服务的详细问题。

今天,您可能熟悉的许多服务都使用机器人:

  • 即时通讯应用程序,例如 WhatsApp、Slack 和 Facebook Messenger。
  • 纽约时报新闻应用程序
  • Lyft 等拼车应用
  • 使用 AI 的日程安排助理,例如 Clara 和 Trevor。

这些例子甚至还没有触及机器人在技术和商业领域的众多应用的皮毛。 不幸的是,机器人在网络犯罪中扮演着许多非法角色。

坏机器人

虽然有为个人和企业提供非常积极目的的机器人程序,但也有支持黑客攻击和网络犯罪的恶意机器人程序。 这些恶意机器人与有用的聊天机器人截然不同。 一方面,聊天机器人不会在网络上随意漫游寻找麻烦。 坏机器人会。

一些最常见的恶意或“不良”机器人程序包括:

  • DDoS 或 DoS机器人在“僵尸网络”或“集群”中协同工作,使目标服务器的资源过载,导致合法用户拒绝服务 (DoS)。 大多数僵尸网络分布在许多网络和设备中,因此它们的攻击向量更准确地定义为“分布式拒绝服务”。
  • Spambot将不需要的商业内容注入目标站点,目的是将访问者带到不同的网站。
  • 黑客机器人攻击网站的基础设施并分发恶意软件。

一些其他类型的恶意机器人程序包括电子邮件收割机、恶意网络爬虫、暴力密码破解程序以及凭据或密码填充机器人程序。

机器人的优点和缺点

与其他技术领域一样,使用机器人可以为具有合法业务目标的人提供一些积极的优势:

  • 他们执行重复性任务的速度比人快——而且不需要人!
  • 机器人为直接的、面对面的客户和客户交互节省了人工时间。
  • 它们全天候可用。
  • 您可以使用机器人很快接触到很多人。
  • 客户服务 UX(用户体验)通过机器人得到显着改善。
  • 企业可以使用机器人流程自动化 (RPA) 来简化工作流程。

另一方面,

  • 基于规则的机器人仅限于其编程的任务和功能。 与人工智能聊天机器人的流畅性和智能性相比,它们显得苍白无力。
  • 甚至 AI 聊天机器人也经常“误解”用户意图并使人们感到沮丧。
  • 犯罪分子不断使用机器人发送垃圾邮件和进行欺诈。
  • 如果机器人被编程为造成伤害,它们可能是恶意的。
  • 很难让人们“信任”机器人,因此在需要关系而非仅仅是交易体验的情况下,它们的使用受到限制。

如何阻止 WordPress 中的坏机器人?

了解如何阻止不良机器人流量很重要 WordPress 无法自行停止。 不良机器人会构成真正的威胁,而且它们每天都会造成重大伤害。 您的 WordPress 网站是他们的目标之一,您应该阻止他们。

要了解如何阻止 WordPress 中的机器人流量,首先要了解坏机器人只是攻击您的 WordPress 网站而对您作为网站所有者没有任何好处的机器人。

不良机器人会消耗大量服务器资源。 如果他们不断地访问您的wp-login页面或您网站的其他区域,寻找闯入的方法,则尤其如此。

通过阻止它们,您将不需要处理那么多的服务器压力。 您将能够节省托管成本和带宽。 这将加快您的网站速度并防止 DDoS 攻击。

以下是开始远离不良机器人的方法:

1. 获取免费的 iThemes Security 插件

首先要做的是获取免费的 iThemes Security 插件。 iThemes Security 是一个 WordPress 安全插件,可为您的 WordPress 网站增加额外的安全性。

通过使用 iThemes Security 插件,您可以获得一个实时的 WordPress 安全日志,该日志收集您网站上的安全事件,包括机器人活动。

立即下载 iThemes Security

使用像 iThemes Security 这样的插件来生成 WordPress 安全日志在很多层面上都很有用。 安全日志在您的整体网站安全策略中有几个好处。

日志使您能够:

  1. 识别并阻止恶意行为。
  2. 发现可以提醒您安全漏洞的活动。
  3. 评估在违规情况下造成的损失有多大。
  4. 帮助您修复被黑网站。

如果您的站点遭到黑客攻击,您将需要最好的信息来支持快速调查和恢复。 该信息是您的服务器访问日志。

2. 获取 iThemes Security Pro 并选择用于用户注册、重置密码、登录和评论的验证码

到目前为止,iThemes Security Pro 插件中最好的 bot-busting 功能是它的 CAPTCHA 选项。

WordPress 网站经常成为机器人的目标,它们试图使用被盗或猜测的密码闯入登录表单,向您发送垃圾邮件和垃圾评论,或者抓取和窃取您的内容。

从许多不同的验证码提供商中选择

Cloudflare 的 noCAPTCHA Turnstile、Intuition Machines 的 hCaptcha 和 Google 的 reCAPTCHA 都是您在 iThemes Security Pro 中拥有的选项,可以将恶意机器人锁定在您的网站之外。 这些验证码中的每一个都将识别您的合法访问者并允许他们登录、购买、查看页面或创建帐户。 所有这些 CAPTCHA 服务都使用先进的风险分析技术来区分人类和机器人,有时甚至不需要挑战人类来证明他们不是机器人。 (旋转门通常是在不可见的情况下运行的。)

要开始使用您选择的 CAPTCHA 服务,请在安全 › 设置下的功能 › 锁定页面上启用 CAPTCHA 功能。

您的验证码密钥

下一步是选择您要使用的验证码类型并为其生成密钥——您需要在您选择的验证码提供商处设置一个免费帐户以获取您的密钥。

注意:Cloudflare 的 Turnstile 是目前侵入性最小、最复杂的验证码解决方案。 如果您使用 Google reCAPTCHA,我们建议您使用他们的 Invisible reCAPTCHA 选项。

noCAPTCHA 的便利性

Cloudflare 的 Turnstile 和 Google 的 Invisible reCAPTCHA 的优点在于它们通常可以检测您网站上的机器人流量而无需任何用户交互。 他们没有显示可见的验证码挑战,而是监视浏览器代理行为以确定它是完全在幕后的人还是机器人。

现在在您的 WordPress 用户注册、密码重置、登录和评论屏幕上启用您选择的验证码。

最后,使用手动验证码测试时,使用锁定错误阈值设置触发锁定所需的失败验证码数量。 探测您的登录屏幕和其他表单的机器人最有可能反复使测试失败,因此自动锁定它们是加强您的黑名单的好方法。

激活后,CAPTCHA 平台徽章会显示在其激活的每个页面的右下角,让您知道您已免受不良机器人的侵害。

3. 使用 iThemes Security 的本地暴力破解保护自动识别和阻止恶意机器人

iThemes Security 的免费版和专业版都可以自动禁止恶意机器人和反复登录尝试失败或使用“管理员”用户名的用户。 这是进行暴力登录尝试的机器人的典型行为。 要开始使用本地暴力保护功能,请在 iThemes Security Pro 设置页面的主页上启用它。 您可以在配置 › 锁定 › 本地暴力破解屏幕上修改确定如何处理这些机器人的设置。

通过降低您允许网站用户登录的尝试次数,您将立即锁定在wp-login页面上重复输入无效登录条件的用户和机器人。

iThemes Security Pro Local Brute Force Protection 功能会跟踪主机或 IP 地址和用户名所做的无效登录尝试。 一旦 IP 或用户名连续进行了过多次无效登录尝试,它们将被锁定,并且将被阻止在设定的时间段内进行任何更多尝试。

4. 使用 iThemes Security 的网络暴力破解保护自动识别和阻止恶意机器人

保护您的网站免受恶意机器人攻击的一种非常有效的方法是选择加入 iThemes 的共享黑名单的用户网络。 网络中的其他人将共享和阻止您网站阻止的不良机器人,您也将从接收他们的阻止列表中受益。 您只需选择加入,您无需采取进一步行动。

5. 手动识别和阻止不良机器人列表

您的 iThemes 安全仪表板为您提供重要的最新信息的抬头显示,包括尝试的暴力攻击次数以及已阻止的机器人和用户的数量。 这是 iThemes Security 保存的日志中收集的信息的可视化显示。

熟悉您的安全日志

花几分钟时间在Security › Logs下观察您的安全日志。 您可能会看到很多锁定(错误的登录尝试)和检测到的暴力登录尝试。

iThemes Security 寻找突出的可疑或恶意请求。 重复访问您网站的机器人看起来不像正常的人工浏览器请求。 他们往往是重复的。 如果一个 IP 发出的请求数量超过平均数量,或者请求从同一个 IP 定期重复(例如每小时都在点),则很可能是机器人。 您可以用谷歌搜索他们的主机名并查找他们的 IP 以了解更多信息并确认它们是良性的还是有害的。

增加锁定时间并禁止重犯

许多被锁定和禁止的主机 IP 会反复出现。 您可能希望在锁定和禁止阈值设置中更长时间地禁止它们。

永久禁止大量不良 IP

您还可以使用 iThemes 安全仪表板上的“禁止用户”小部件永久禁止许多 IP。 请小心——一个非常大的列表会降低您的服务器速度。

永久禁止大量不良用户代理

阻止不良用户代理是将已知机器人列入黑名单的有效方法。 这也是 iThemes Security 的用户禁止功能的一部分。

通过将不良机器人列表建立在定期更新的公共来源上,您可以节省大量时间。 Jim Walker 的禁令列表已经集成到 iThemes Security 中。 您可以添加其他的,例如 Jeff Starr 的 4G 坏机器人黑名单,目前有 1200 个坏用户代理条目。
请记住,像 Googlebot 这样的机器人是合法的,不需要被阻止——事实上,您可以使用当前的有益机器人列表将它们列入白名单。

iThemes Security 的新功能:以零摩擦和更好的隐私阻止机器人 — 观看网络研讨会重播:

阻止 WordPress 中的不良机器人将使您的生活更轻松

如果您在任何一段时间内一直是 WordPress 网站所有者,那么您几乎可以肯定地处理过攻击您网站的不良机器人。 在这本电子书中,您会找到一些简单的建议,让自己为更安全的未来做好准备。 了解如何阻止不良机器人和其他安全技术,使您的网站更难成为目标。

获取奖励内容:WordPress 安全指南
下载PDF

保护和保护 WordPress 的最佳 WordPress 安全插件

WordPress 目前为超过 40% 的网站提供支持,因此它很容易成为怀有恶意的黑客的目标。 iThemes Security Pro 插件消除了 WordPress 安全性的猜测,使保护和保护您的 WordPress 网站变得容易。 这就像拥有一名全职安全专家,不断为您监控和保护您的 WordPress 网站。

获取 iThemes 安全专业版