如何阻止壞機器人:WordPress 用戶指南

已發表: 2023-04-05

一半的互聯網流量不是人類活動——而是機器人。 垃圾郵件機器人、搜索機器人、Twitter 機器人和 DDoS 機器人只是網絡機器人的幾種常見類型。 它們在網絡世界中無處不在,而且並非所有都是壞的。 但其中一些是壞的,壞的機器人不僅僅是令人討厭的東西。 它們會破壞您的 WordPress 網站的功能,減慢您的工作流程,並趕走您的用戶或客戶。

當需要阻止不良機器人干擾您的 WordPress 網站時,有些方法比其他方法更有效。 幸運的是,WordPress 為我們提供了幾種處理機器人的實用解決方案。

在本指南中,我們將討論什麼是機器人、為什麼有些機器人是好的、如何阻止壞的機器人以及如何防止它們損害您的 WordPress 網站。 要阻止易受攻擊的 WordPress 網站吸引機器人,現在請花幾分鐘時間閱讀本指南。 到最後,您將獲得在 WordPress 中阻止不良機器人所需的答案。 讓我們來看看。

什麼是機器人?

您可能已經知道,術語“機器人”是“機器人”的縮寫。 有時,人們將我們在這裡討論的機器人稱為“互聯網機器人”或“網絡機器人”。 簡而言之,機器人是一種軟件,它作為一個人的獨立用戶代理或一個更大的命令和控製程序來指導許多機器人的行為。

出於好的和壞的原因,人們經常使用機器人來模擬真人瀏覽網絡和執行重複性任務的活動。 機器人在執行日常任務時比人快得多,因此人們使用機器人快速、大規模地完成許多簡單的事情。 一般來說,所有互聯網流量的 40-50% 實際上是機器人與網頁交互、直接與人交流、掃描特定內容或執行其他基本任務。

通常,您不會從這些機器人驅動的任務中獲益。 你不想要它們,它們對你沒有幫助。 它們是對服務器和能源資源的浪費。 更糟糕的是,有些是惡意的,這些機器人會持續構成威脅。

阻止不良機器人

機器人究竟是如何工作的?

在大多數情況下,機器人通過網絡運行。 當機器人相互通信時,它們將使用不同的服務,如 IRC(互聯網中繼聊天),甚至是社交媒體平台中的直接消息系統。

遵循不同的算法集,這些算法集定義了他們的設計者對其進行編程的任務,機器人可以做任何事情,從與人交談到從互聯網上抓取網站內容。 最複雜的機器人試圖模仿真實的人類行為,例如 Google Duplex。

機器人管理

使用機器人的個人和組織通常使用屬於 Web 應用程序安全平台一部分的機器人管理軟件。 Bot 管理器允許好的 bot 正常運行,同時阻止可能造成傷害的壞 bot。

當 bot 管理器發現可疑或已知的不良 bot 時,會將它們重定向到其保護的網站之外。 它的工作原理類似於 Web 應用程序防火牆。

機器人管理軟件的一些更基本的功能包括 CAPTCHA(用於檢測人與機器人)和 IP 速率限制,它限制來自一個 IP 地址的請求數量。

作為其功能的一部分,iThemes Security 使用驗證碼和其他方法檢測和阻止機器人流量。

八種常見類型的機器人

有許多不同類型的機器人,每一種都有自己獨特的任務和議程。

一些最常見的機器人包括:

  1. 聊天機器人模擬人類對話並像其他人一樣與您互動。 最早的聊天機器人之一早於萬維網——Eliza。 Eliza 是一個像 Rogerian 心理治療師一樣用更多問題回答問題的程序。
    • 基於規則的聊天機器人通過提供預定義的提示供人們選擇來與人們互動。 智能獨立的聊天機器人利用機器學習來學習和理解人類輸入並對已知關鍵字做出響應。
    • AI(人工智能)聊天機器人結合了智能獨立機器人和基於規則的機器人的特點。 這些複雜的 AI 機器人使用自然語言處理、模式匹配和自然語言生成工具,以非常逼真的方式複制人類交互。
  2. Shopbots代表用戶掃描互聯網。 Shopbot 的工作是為用戶正在尋找的任何產品、項目或服務找到最低成本。 諸如 OpenSesame 之類的機器人會觀察用戶網站導航模式並為每個用戶定製網站。
  3. 社交機器人在 Facebook、Twitter 和其他社交媒體平台上運行。
  4. Knowbots收集有關由控制它們的人定義的主題的特定信息。
  5. 爬蟲和蜘蛛又名網絡爬蟲或網絡蜘蛛是您可能遇到的最常見的機器人。 搜索引擎使用它們來映射和索引網站的結構和內容。
  6. Web 抓取爬蟲收集數據並提取其他人為它們編寫的程序以查找的內容。
  7. 交易機器人代表控制它們的人完成交易。
  8. 監控機器人監視網絡或網站的整體健康狀況。

每個類別中的機器人都服務於合法目的,例如測試、監控和保護系統。 當然,每個類別還可以包含惡意機器人程序。

好機器人

客戶服務機器人可以每週 7 天、每天 24 小時提供服務。 對於回答常見問題和提供基本幫助,這是我們使用機器人的好方法。 它有助於釋放客戶服務人員,使他們能夠專注於需要人工交互的更複雜的問題。

您可能與客戶服務機器人(也稱為虛擬代理或虛擬代表)進行過一些對話。 二十多年前,“Andrette”和“Shallow Red”是客戶服務機器人的先驅。 它們屬於第一代機器人,可以回答有關產品或服務的詳細問題。

今天,您可能熟悉的許多服務都使用機器人:

  • 即時通訊應用程序,例如 WhatsApp、Slack 和 Facebook Messenger。
  • 紐約時報新聞應用程序
  • Lyft 等拼車應用
  • 使用 AI 的日程安排助理,例如 Clara 和 Trevor。

這些例子甚至還沒有觸及機器人在技術和商業領域的眾多應用的皮毛。 不幸的是,機器人在網絡犯罪中扮演著許多非法角色。

壞機器人

雖然有為個人和企業提供非常積極目的的機器人程序,但也有支持黑客攻擊和網絡犯罪的惡意機器人程序。 這些惡意機器人與有用的聊天機器人截然不同。 一方面,聊天機器人不會在網絡上隨意漫遊尋找麻煩。 壞機器人會。

一些最常見的惡意或“不良”機器人程序包括:

  • DDoS 或 DoS機器人在“殭屍網絡”或“集群”中協同工作,使目標服務器的資源過載,導致合法用戶拒絕服務 (DoS)。 大多數殭屍網絡分佈在許多網絡和設備中,因此它們的攻擊向量更準確地定義為“分佈式拒絕服務”。
  • Spambot將不需要的商業內容注入目標站點,目的是將訪問者帶到不同的網站。
  • 黑客機器人攻擊網站的基礎設施並分發惡意軟件。

一些其他類型的惡意機器人程序包括電子郵件收割機、惡意網絡爬蟲、暴力密碼破解程序以及憑據或密碼填充機器人程序。

機器人的優點和缺點

與其他技術領域一樣,使用機器人可以為具有合法業務目標的人提供一些積極的優勢:

  • 他們執行重複性任務的速度比人快——而且不需要人!
  • 機器人為直接的、面對面的客戶和客戶交互節省了人工時間。
  • 它們全天候可用。
  • 您可以使用機器人很快接觸到很多人。
  • 客戶服務 UX(用戶體驗)通過機器人得到顯著改善。
  • 企業可以使用機器人流程自動化 (RPA) 來簡化工作流程。

另一方面,

  • 基於規則的機器人僅限於其編程的任務和功能。 與人工智能聊天機器人的流暢性和智能性相比,它們顯得蒼白無力。
  • 甚至 AI 聊天機器人也經常“誤解”用戶意圖並使人們感到沮喪。
  • 犯罪分子不斷使用機器人發送垃圾郵件和進行欺詐。
  • 如果機器人被編程為造成傷害,它們可能是惡意的。
  • 很難讓人們“信任”機器人,因此在需要關係而非僅僅是交易體驗的情況下,它們的使用受到限制。

如何阻止 WordPress 中的壞機器人?

了解如何阻止不良機器人流量很重要 WordPress 無法自行停止。 不良機器人會構成真正的威脅,而且它們每天都會造成重大傷害。 您的 WordPress 網站是他們的目標之一,您應該阻止他們。

要了解如何阻止 WordPress 中的機器人流量,首先要了解壞機器人只是攻擊您的 WordPress 網站而對您作為網站所有者沒有任何好處的機器人。

不良機器人會消耗大量服務器資源。 如果他們不斷地訪問您的wp-login頁面或您網站的其他區域,尋找闖入的方法,則尤其如此。

通過阻止它們,您將不需要處理那麼多的服務器壓力。 您將能夠節省託管成本和帶寬。 這將加快您的網站速度並防止 DDoS 攻擊。

以下是開始遠離不良機器人的方法:

1. 獲取免費的 iThemes Security 插件

首先要做的是獲取免費的 iThemes Security 插件。 iThemes Security 是一個 WordPress 安全插件,可為您的 WordPress 網站增加額外的安全性。

通過使用 iThemes Security 插件,您可以獲得一個實時的 WordPress 安全日誌​​,該日誌收集您網站上的安全事件,包括機器人活動。

立即下載 iThemes Security

使用像 iThemes Security 這樣的插件來生成 WordPress 安全日誌​​在很多層面上都很有用。 安全日誌在您的整體網站安全策略中有幾個好處。

日誌使您能夠:

  1. 識別並阻止惡意行為。
  2. 發現可以提醒您安全漏洞的活動。
  3. 評估在違規情況下造成的損失有多大。
  4. 幫助您修復被黑網站。

如果您的站點遭到黑客攻擊,您將需要最好的信息來支持快速調查和恢復。 該信息是您的服務器訪問日誌。

2. 獲取 iThemes Security Pro 並選擇用於用戶註冊、重置密碼、登錄和評論的驗證碼

到目前為止,iThemes Security Pro 插件中最好的 bot-busting 功能是它的 CAPTCHA 選項。

WordPress 網站經常成為機器人的目標,它們試圖使用被盜或猜測的密碼闖入登錄表單,向您發送垃圾郵件和垃圾評論,或者抓取和竊取您的內容。

從許多不同的驗證碼提供商中選擇

Cloudflare 的 noCAPTCHA Turnstile、Intuition Machines 的 hCaptcha 和 Google 的 reCAPTCHA 都是您在 iThemes Security Pro 中擁有的選項,可以將惡意機器人鎖定在您的網站之外。 這些驗證碼中的每一個都將識別您的合法訪問者並允許他們登錄、購買、查看頁面或創建帳戶。 所有這些 CAPTCHA 服務都使用先進的風險分析技術來區分人類和機器人,有時甚至不需要挑戰人類來證明他們不是機器人。 (旋轉門通常是在不可見的情況下運行的。)

要開始使用您選擇的 CAPTCHA 服務,請在安全 › 設置下的功能 › 鎖定頁面上啟用 CAPTCHA 功能。

您的驗證碼密鑰

下一步是選擇您要使用的驗證碼類型並為其生成密鑰——您需要在您選擇的驗證碼提供商處設置一個免費帳戶以獲取您的密鑰。

注意:Cloudflare 的 Turnstile 是目前侵入性最小、最複雜的驗證碼解決方案。 如果您使用 Google reCAPTCHA,我們建議您使用他們的 Invisible reCAPTCHA 選項。

noCAPTCHA 的便利性

Cloudflare 的 Turnstile 和 Google 的 Invisible reCAPTCHA 的優點在於它們通常可以檢測您網站上的機器人流量而無需任何用戶交互。 他們沒有顯示可見的驗證碼挑戰,而是監視瀏覽器代理行為以確定它是完全在幕後的人還是機器人。

現在在您的 WordPress 用戶註冊、密碼重置、登錄和評論屏幕上啟用您選擇的驗證碼。

最後,使用手動驗證碼測試時,使用鎖定錯誤閾值設置觸發鎖定所需的失敗驗證碼數量。 探測您的登錄屏幕和其他表單的機器人最有可能反複使測試失敗,因此自動鎖定它們是加強您的黑名單的好方法。

激活後,CAPTCHA 平台徽章會顯示在其激活的每個頁面的右下角,讓您知道您已免受不良機器人的侵害。

3. 使用 iThemes Security 的本地暴力破解保護自動識別和阻止惡意機器人

iThemes Security 的免費版和專業版都可以自動禁止惡意機器人和反复登錄嘗試失敗或使用“管理員”用戶名的用戶。 這是進行暴力登錄嘗試的機器人的典型行為。 要開始使用本地暴力保護功能,請在 iThemes Security Pro 設置頁面的主頁上啟用它。 您可以在配置 › 鎖定 › 本地暴力破解屏幕上修改確定如何處理這些機器人的設置。

通過降低您允許網站用戶登錄的嘗試次數,您將立即鎖定在wp-login頁面上重複輸入無效登錄條件的用戶和機器人。

iThemes Security Pro Local Brute Force Protection 功能會跟踪主機或 IP 地址和用戶名所做的無效登錄嘗試。 一旦 IP 或用戶名連續進行了過多次無效登錄嘗試,它們將被鎖定,並且將被阻止在設定的時間段內進行任何更多嘗試。

4. 使用 iThemes Security 的網絡暴力破解保護自動識別和阻止惡意機器人

保護您的網站免受惡意機器人攻擊的一種非常有效的方法是選擇加入 iThemes 的共享黑名單的用戶網絡。 網絡中的其他人將共享和阻止您網站阻止的不良機器人,您也將從接收他們的阻止列表中受益。 您只需選擇加入,您無需採取進一步行動。

5. 手動識別和阻止不良機器人列表

您的 iThemes 安全儀表板為您提供重要的最新信息的抬頭顯示,包括嘗試的暴力攻擊次數以及已阻止的機器人和用戶的數量。 這是 iThemes Security 保存的日誌中收集的信息的可視化顯示。

熟悉您的安全日誌

花幾分鐘時間在Security › Logs下觀察您的安全日誌。 您可能會看到很多鎖定(錯誤的登錄嘗試)和檢測到的暴力登錄嘗試。

iThemes Security 尋找突出的可疑或惡意請求。 重複訪問您網站的機器人看起來不像正常的人工瀏覽器請求。 他們往往是重複的。 如果一個 IP 發出的請求數量超過平均數量,或者請求從同一個 IP 定期重複(例如每小時都在點),則很可能是機器人。 您可以用谷歌搜索他們的主機名並查找他們的 IP 以了解更多信息並確認它們是良性的還是有害的。

增加鎖定時間並禁止重犯

許多被鎖定和禁止的主機 IP 會反復出現。 您可能希望在鎖定和禁止閾值設置中更長時間地禁止它們。

永久禁止大量不良 IP

您還可以使用 iThemes 安全儀表板上的“禁止用戶”小部件永久禁止許多 IP。 請小心——一個非常大的列表會降低您的服務器速度。

永久禁止大量不良用戶代理

阻止不良用戶代理是將已知機器人列入黑名單的有效方法。 這也是 iThemes Security 的用戶禁止功能的一部分。

通過將不良機器人列表建立在定期更新的公共來源上,您可以節省大量時間。 Jim Walker 的禁令列表已經集成到 iThemes Security 中。 您可以添加其他的,例如 Jeff Starr 的 4G 壞機器人黑名單,目前有 1200 個壞用戶代理條目。
請記住,像 Googlebot 這樣的機器人是合法的,不需要被阻止——事實上,您可以使用當前的有益機器人列表將它們列入白名單。

iThemes Security 的新功能:以零摩擦和更好的隱私阻止機器人 — 觀看網絡研討會重播:

阻止 WordPress 中的不良機器人將使您的生活更輕鬆

如果您在任何一段時間內一直是 WordPress 網站所有者,那麼您幾乎可以肯定地處理過攻擊您網站的不良機器人。 在這本電子書中,您會找到一些簡單的建議,讓自己為更安全的未來做好準備。 了解如何阻止不良機器人和其他安全技術,使您的網站更難成為目標。

獲取獎勵內容:WordPress 安全指南
下載PDF

保護和保護 WordPress 的最佳 WordPress 安全插件

WordPress 目前為超過 40% 的網站提供支持,因此它很容易成為懷有惡意的黑客的目標。 iThemes Security Pro 插件消除了 WordPress 安全性的猜測,使保護和保護您的 WordPress 網站變得容易。 這就像擁有一名全職安全專家,不斷為您監控和保護您的 WordPress 網站。

獲取 iThemes 安全專業版