如何保护您的网站免受 WordPress 蛮力攻击?
已发表: 2022-04-22即使在攻击成功之前, WordPress 蛮力攻击也是势不可挡的。
许多站点管理员看到他们的服务器资源迅速耗尽,他们的站点变得无响应甚至彻底崩溃——导致实际用户被锁定。 问题是当蛮力机器人敲击登录页面时,你会感到无助,试图通过你的 wp-admin。
但你并非无助。 如果您看到单个用户多次登录尝试失败,可能来自多个 IP,那么您来对地方了。
在本文中,我们将分解 WordPress 蛮力攻击的样子,以及如何保护您的网站免受攻击。
TL;DR通过启用 MalCare 的登录保护来保护您的网站免受 WordPress 暴力破解。 使用强大的防火墙和集成的机器人保护来防止恶意机器人攻击您的站点。 使用 MalCare 保护您的网站、数据和用户的安全,这是 WordPress 中针对暴力破解的最佳安全插件。
什么是 WordPress 蛮力攻击?
WordPress 蛮力攻击是通过尝试用户名和密码的各种组合来尝试未经授权访问您的 wp-admin 。 黑客已经开发出机器人,在反复试验的基础上不断地用凭据轰炸登录页面。
通常,机器人会尝试从字典中输入一系列密码,因此也称为字典攻击或密码猜测攻击。 可以将攻击配置为来自不同的 IP 地址,从而绕过基本的安全措施。 还有其他类型的蛮力攻击,我们将在本文后面介绍。
蛮力攻击的目标是访问您的 wp-admin,然后通常在您的站点上安装恶意软件。
如何保护您的网站免受 WordPress 暴力攻击(9 种方式)
经历蛮力攻击是可怕的,特别是因为感觉你无法阻止它。 此外,攻击的效果立即可见。 大多数站点的服务器资源有限,很快就会用完,并且经常受到攻击的站点会完全崩溃。
幸运的是,您可以做很多事情来防止 WordPress 中的暴力攻击。 这是 WordPress 蛮力保护步骤的列表,这些步骤将阻止大多数攻击,并减轻最坏的影响以采取良好的措施。
1.限制登录尝试
阻止 wordpress 暴力攻击的最佳方法是限制登录尝试。 如果在登录页面输入错误密码的次数过多,该帐户将被暂时锁定。 这会阻止蛮力机器人的有效性,因为它依靠试错法来猜测凭据。 最重要的是,由于机器人无法尝试数千种组合,因此请求不会发送到服务器,并且机器人的活动不会耗尽资源。
默认情况下,WordPress 允许无限制的登录尝试,这就是它首先容易受到暴力攻击的原因。 使用 MalCare,会自动激活有限的登录保护。 事实上,如果用户合法地忘记了密码,他们可以通过验证码轻松通过阻止。 因此,限制登录尝试可以阻止暴力机器人,而不会对真实用户产生不利影响。
有关更多详细信息,请参阅我们的指南,了解如何限制 WordPress 中的登录尝试。
2.阻止坏机器人
蛮力攻击几乎总是由机器人执行。 机器人是旨在重复执行简单任务的小程序,因此非常适合蛮力攻击。 该机器人将在登录页面上尝试一系列凭据,直到找到匹配项。
最重要的是,超过 25% 的网站流量是机器人,因此有很多安全系统都有机器人保护。 然而,这里有一个重要的区别:所有的机器人都不错。 有像其他搜索引擎爬虫和正常运行时间监控机器人这样的好东西。 您希望这些人能够访问您的网站,因此获得机器人保护以智能阻止恶意机器人(如 MalCare)非常重要。 还有其他机器人保护插件,例如 All in One,但默认情况下它会阻止所有机器人,包括 Googlebot。
3.安装Web应用防火墙
登录保护是专门针对暴力攻击的防御,而防火墙是针对各种攻击的防御; 包括蛮力的。
防火墙使用规则来阻止恶意流量,并为保护您的网站做了大量工作。 此外,防火墙通过阻止重复的错误请求来缓解暴力攻击的最大问题之一——服务器资源的过度负载。
蛮力攻击通常被配置为从不同的 IP 进行攻击,因此可以绕过大多数防火墙。 但是,使用 MalCare 的防火墙,您的网站将成为全球 IP 保护的一部分。 防火墙从超过 100,000 个站点记录的行为中了解哪些 IP 是恶意的,并主动阻止来自这些站点的流量。 这些措施首先显着减少了您网站的不良流量,甚至在机器人有机会暴力破解您网站的登录页面之前。
4.在WordPress中添加双因素身份验证
用户名和密码是可以猜到的,因此双因素身份验证(或实际上是多因素身份验证)已成为一种使用动态元素来验证用户身份的方法。 通过双重身份验证,用户设备将共享一个实时登录令牌,如 OTP 或 QR 码。 它的有效期有限,通常约为 10-15 分钟,并且只能对该会话的用户进行身份验证。
除了用户名和密码之外,额外的令牌很难破解。 因此,它为登录页面增加了另一层安全性。 您可以安装 WP 2FA 之类的插件,轻松为您的网站添加双重身份验证。
要了解更多信息,请参阅我们的 WordPress 双重身份验证指南。
5. 使用强而独特的密码
安全性的最大缺陷是用户自己,以及他们设置的密码。 密码是任何安全系统中最大的漏洞,因为(可以理解的)人类倾向于设置易于记忆的密码并在不同帐户中重复使用它们。 这实际上是两个不同的密码问题。
首先,切勿在不同帐户之间重复使用密码。 许多蛮力机器人使用从数据泄露中窃取的密码来攻击登录页面。 其次,您可以想象,像“密码”这样的密码非常容易猜到。 使用至少 12 个字符的乱码,或者最好使用密码短语作为密码。
我们建议使用 LastPass 或 1Password 之类的密码管理器,以避免重复使用密码,并根据需要生成强密码。 如果您怀疑某个帐户已被盗用,您可以从 MalCare 仪表板的强化部分强制重置所有密码。
有关更多详细信息,请参阅我们关于 WordPress 密码安全性的文章。
6. 在 WordPress 中禁用 XML-RPC
XML-RPC 文件是另一种验证用户的方式。 换句话说,它是访问管理仪表板的另一种方法,因此也容易受到暴力攻击。 它是一个很大程度上被弃用的文件,并且没有被许多插件或主题积极使用。 它继续包含在 WordPress 中以实现向后兼容性,因此禁用它相对安全。
这是我们关于如何在 wordpress 中禁用 XML-RPC 的指南。
7. 定期检查和删除未使用的用户帐户
休眠帐户通常是黑客的目标,因为如果他们的帐户被劫持,用户可能不会注意到。 此外,休眠帐户长时间使用相同的密码,使其更容易被暴力破解。
因此,请定期检查用户帐户,并删除任何未使用的帐户。 要获得额外积分,请确保每个帐户都具有管理其帐户所需的最低用户权限。 例如,让每个人都成为管理员是很愚蠢的。
8.考虑在WordPress中进行地理封锁
如果您从一个位置看到大量机器人流量,您可以考虑屏蔽整个国家/地区。 但是,我们建议您在使用地理封锁时谨慎行事。 仅当您完全不期望来自该位置的任何合法用户时,它才有用。
此外,请注意它可以阻止该地区的优秀机器人。 例如,Googlebot 可以从其在世界上的任何服务器位置运行,您肯定希望 Googlebot 访问您的网站。
这是在 WordPress 中阻止国家/地区的分步指南。
9.禁用目录浏览
默认情况下,大多数 WordPress 核心文件夹和文件都可以通过浏览器公开访问。 例如,您可以在浏览器的 URL 栏中输入 yourwebsite.com/wp-includes,该文件夹的全部内容将立即可见。
尽管目录浏览本身不是漏洞,但它可以揭示有关站点的信息,这些信息又可用于利用漏洞。 /wp-content 文件夹有插件和主题,如果黑客可以看到安装了哪些插件和它们的版本号,他们就有可能找到并利用漏洞。 这是一种不太流行的蛮力攻击类型,称为目录蛮力。
因此,作为保护措施,完全禁用目录浏览是有意义的。
这是我们在 WordPress 中禁用目录浏览的完整指南。
你会在别处读到但应该避免做的事情
那里有大量善意但糟糕的安全建议。 所以,除了我们要做的事情列表之外,我们还列出了不做的事情。
- 密码保护 wp-admin 目录:根本不要这样做。 它几乎出现在每一篇暴力预防文章中。 通过限制对 admin-ajax.php 文件的访问,密码保护 wp-admin 目录将破坏未登录用户的 AJAX。
AJAX 通常用于为网站的动态方面提供动力。 假设您的网站上有一个搜索栏。 如果访问者使用它来搜索产品,则只会重新加载搜索结果,而不是整个网站。 这是一个巨大的资源节省,并使网站的用户体验更快更好。
您还将看到许多排除 admin-ajax.php 文件的解决方法,但它们并不总是能无缝地工作。 最重要的是,变通办法所需要的努力并未反映相应数量的安全性。 因此,这是一个巨大的进步,几乎没有额外的好处。 - 更改您的 wp-login URL:您经常在 WordPress 强化文章中看到此建议。 但是,我们强烈建议不要更改登录 URL,因为如果丢失几乎无法恢复。
- 避免使用 admin 作为用户名:由于蛮力机器人有效地尝试猜测用户名和密码组合,因此避免使用明显的用户名(如 admin)有一些价值。 WordPress 不允许您从仪表板更改用户名,因此您需要安装插件才能这样做。
但是,此措施的价值有限,我们建议您不要在此花费过多的时间和精力。 还有其他方法可以从某些类型的网站(例如会员网站)中恢复用户名。 为成员设置唯一用户名、执行政策以及处理人们忘记其唯一用户名时不可避免的后果所需的努力不值得有限的有益效果。
蛮力攻击对 WordPress 的影响
有两种方法可以考虑蛮力攻击的影响。 首先,攻击期间会发生什么,其次,如果攻击成功会发生什么。
一般来说,对于攻击,第一个问题不会经常出现,因为网站受到攻击时几乎没有影响。 一旦攻击成功,后果就会浮出水面。 但是,暴力攻击并非如此。
当您的网站被暴力破解时会发生什么?
您将看到对服务器资源的直接影响。 因为攻击正在用请求轰炸您的登录页面,所以服务器必须对每一个请求做出响应。 因此,您将在您的网站上看到服务器使用率增加的所有影响:网站速度变慢、某些用户无法登录、停机、无法访问等等。 Web 主机也可以快速限制服务器的使用,因为这会影响它们的指标,尤其是在您使用共享主机的情况下。
如果蛮力攻击成功会发生什么?
如果攻击成功,您可以合理地预期会看到恶意软件或某种形式的破坏。 黑客想要访问您的网站的原因有很多,但没有一个是好的。
如果这还不够糟糕,您的网站可能会成为僵尸网络的一部分,并在未经您同意的情况下被用来攻击其他网站。 这可能会产生重大影响,因为如果您的网站是僵尸网络的一部分,其他安全系统会将您的网站标记为恶意网站。
处理 WordPress 蛮力攻击的后果
如果暴力攻击成功,您应该假设最坏的情况:您的网站已被入侵。 因此,您的首要任务是保护您的网站。 以下是控制损害应采取的主要步骤:
- 强制注销所有用户并更改所有密码
- 立即扫描您的网站以查找恶意软件
一旦您确定您的网站没有恶意软件,请实施上面列出的预防措施。 我们强烈建议安装 MalCare,它负责登录保护和 bot 保护,同时还打包了恶意软件扫描程序、清理程序和高级防火墙以防万一。 安装 MalCare 后,您可以放心,您的网站不会受到 WordPress 攻击。
您的网站容易受到暴力攻击吗?
是的,所有系统都容易受到暴力攻击。 由于它们的工作方式,可以对任何具有登录页面的系统发起暴力攻击。 WordPress 网站也不例外。
WordPress 的流行使其成为黑客的目标。 首先,这是因为大部分互联网都是由 WordPress 驱动的,其次是因为 WordPress 的某些方面是众所周知的。 在一个与暴力攻击特别相关的示例中,WordPress 不限制不正确的登录尝试。 正如我们在措施部分所讨论的,您可以使用 MalCare 的限制登录功能来纠正此问题。
最重要的是,许多网站所有者倾向于使用易于记忆的用户名和密码。 常见的包括 admin 作为用户名和 password1234 或 12345678 设置为密码。
这些因素使您的网站容易受到暴力攻击。
蛮力攻击的类型
蛮力攻击不同于其他类型的威胁和攻击,如社会工程攻击或 XSS 攻击。 社会工程攻击,如网络钓鱼,通过伪装成受信任的实体来操纵人们分享他们的凭据,而 XSS 攻击则利用网站上的漏洞。 蛮力攻击依靠弱或被盗的凭据来成功。
你会在野外看到一些蛮力攻击。 他们都遵循相同的试错模式,但他们尝试的凭据或他们使用的机制可能会有所不同。 以下是一些最常见的暴力攻击类型:
- 简单攻击:简单的蛮力攻击使用逻辑来根据他们对用户的了解来猜测凭据,例如从社交媒体网站获得的宠物名字或生日。
- 凭据填充:这种类型的攻击使用从违规中获得的数据,假设用户倾向于在多个系统中使用相同的用户名和密码。
- 字典攻击:顾名思义,这些机器人使用字典文件作为密码。 这可以是一本实际的字典,也可以是专门为猜测密码而创建的字典。
- 彩虹表攻击:在概念上类似于字典攻击,彩虹表是一种特殊的字典列表。 彩虹表不是密码列表,而是包含哈希密码列表。
- 密码喷射:这种类型的攻击在逻辑上是一种反向暴力攻击。 在典型的蛮力攻击中,特定的用户名是目标,并使用密码进行猜谜游戏。 相反,通过密码喷射,会针对多个用户名尝试密码列表以找到潜在的匹配项。 与有针对性的攻击相比,这是一种更分散的攻击。
作为站点管理员,您可能不需要了解不同类型的蛮力攻击之间的区别。 但是,这些术语通常可以互换使用,因此有助于了解底层机制。
其他良好的安全实践
防止 WordPress 中的暴力攻击是一个令人钦佩的目标,但这只是网站安全的一部分。 以下是我们的一些重要建议,可确保您的网站安全且无恶意软件:
- 使用良好的恶意软件扫描程序和清洁器安装安全插件
- 保持一切更新
- 投资于每日备份
如需完整的建议列表,请查看我们的终极安全指南。
结论
蛮力攻击可以削弱网站,即使他们没有成功。 处理这种潜在威胁的最佳方法是安装具有集成机器人保护功能的防火墙,例如 MalCare。
即使暴力攻击成功,MalCare 也会帮助您快速检测恶意软件并将其删除。 与所有感染一样,快速行动可以显着限制损害。
常见问题
什么是 WordPress 中的蛮力攻击?
WordPress 中的蛮力攻击是指黑客试图通过猜测合法用户帐户的登录凭据来访问站点的 wp-admin。 蛮力攻击利用机器人在 wp 登录页面上尝试数百、数千甚至数百万个密码,以尝试猜测正确的密码。
蛮力攻击不仅对网站来说是危险的,如果它们成功的话,也会对网站性能产生巨大影响。 攻击会耗尽服务器资源,有时甚至会导致站点崩溃。
如何保护您的 WordPress 网站免受暴力攻击?
保护您的网站免受暴力攻击的最有效方法是限制登录尝试。 默认情况下,WordPress 允许无限制的登录尝试,因此您可以使用 MalCare 保护您的网站免受暴力攻击。 除了登录保护之外,MalCare 还包括机器人保护和高级防火墙,这两者都有助于保护您的站点,并减轻暴力攻击的不良影响。