如何保護您的網站免受 WordPress 蠻力攻擊?
已發表: 2022-04-22即使在攻擊成功之前, WordPress 蠻力攻擊也是勢不可擋的。
許多站點管理員看到他們的服務器資源迅速耗盡,他們的站點變得無響應甚至徹底崩潰——導致實際用戶被鎖定。 問題是當蠻力機器人敲擊登錄頁面時,你會感到無助,試圖通過你的 wp-admin。
但你並非無助。 如果您看到單個用戶多次登錄嘗試失敗,可能來自多個 IP,那麼您來對地方了。
在本文中,我們將分解 WordPress 蠻力攻擊的樣子,以及如何保護您的網站免受攻擊。
TL;DR通過啟用 MalCare 的登錄保護來保護您的網站免受 WordPress 暴力破解。 使用強大的防火牆和集成的機器人保護來防止惡意機器人攻擊您的站點。 使用 MalCare 保護您的網站、數據和用戶的安全,這是 WordPress 中針對暴力破解的最佳安全插件。
什麼是 WordPress 蠻力攻擊?
WordPress 蠻力攻擊是通過嘗試用戶名和密碼的各種組合來嘗試未經授權訪問您的 wp-admin 。 黑客已經開發出機器人,在反複試驗的基礎上不斷地用憑據轟炸登錄頁面。

通常,機器人會嘗試從字典中輸入一系列密碼,因此也稱為字典攻擊或密碼猜測攻擊。 可以將攻擊配置為來自不同的 IP 地址,從而繞過基本的安全措施。 還有其他類型的蠻力攻擊,我們將在本文後面介紹。
蠻力攻擊的目標是訪問您的 wp-admin,然後通常在您的站點上安裝惡意軟件。
如何保護您的網站免受 WordPress 暴力攻擊(9 種方式)
經歷蠻力攻擊是可怕的,特別是因為感覺你無法阻止它。 此外,攻擊的效果立即可見。 大多數站點的服務器資源有限,很快就會用完,並且經常受到攻擊的站點會完全崩潰。
幸運的是,您可以做很多事情來防止 WordPress 中的暴力攻擊。 這是 WordPress 蠻力保護步驟的列表,這些步驟將阻止大多數攻擊,並減輕最壞的影響以採取良好的措施。
1.限制登錄嘗試
阻止 wordpress 暴力攻擊的最佳方法是限制登錄嘗試。 如果在登錄頁面輸入錯誤密碼的次數過多,該帳戶將被暫時鎖定。 這會阻止蠻力機器人的有效性,因為它依靠試錯法來猜測憑據。 最重要的是,由於機器人無法嘗試數千種組合,因此請求不會發送到服務器,並且機器人的活動不會耗盡資源。

默認情況下,WordPress 允許無限制的登錄嘗試,這就是它首先容易受到暴力攻擊的原因。 使用 MalCare,會自動激活有限的登錄保護。 事實上,如果用戶合法地忘記了密碼,他們可以通過驗證碼輕鬆通過阻止。 因此,限制登錄嘗試可以阻止暴力機器人,而不會對真實用戶產生不利影響。
有關更多詳細信息,請參閱我們的指南,了解如何限制 WordPress 中的登錄嘗試。

2.阻止壞機器人
蠻力攻擊幾乎總是由機器人執行。 機器人是旨在重複執行簡單任務的小程序,因此非常適合蠻力攻擊。 該機器人將在登錄頁面上嘗試一系列憑據,直到找到匹配項。
最重要的是,超過 25% 的網站流量是機器人,因此有很多安全系統都有機器人保護。 然而,這裡有一個重要的區別:所有的機器人都不錯。 有像其他搜索引擎爬蟲和正常運行時間監控機器人這樣的好東西。 您希望這些人能夠訪問您的網站,因此獲得機器人保護以智能阻止惡意機器人(如 MalCare)非常重要。 還有其他機器人保護插件,例如 All in One,但默認情況下它會阻止所有機器人,包括 Googlebot。

3.安裝Web應用防火牆
登錄保護是專門針對暴力攻擊的防禦,而防火牆是針對各種攻擊的防禦; 包括蠻力的。
防火牆使用規則來阻止惡意流量,並為保護您的網站做了大量工作。 此外,防火牆通過阻止重複的錯誤請求來緩解暴力攻擊的最大問題之一——服務器資源的過度負載。

蠻力攻擊通常被配置為從不同的 IP 進行攻擊,因此可以繞過大多數防火牆。 但是,使用 MalCare 的防火牆,您的網站將成為全球 IP 保護的一部分。 防火牆從超過 100,000 個站點記錄的行為中了解哪些 IP 是惡意的,並主動阻止來自這些站點的流量。 這些措施首先顯著減少了您網站的不良流量,甚至在機器人有機會暴力破解您網站的登錄頁面之前。
4.在WordPress中添加雙因素身份驗證
用戶名和密碼是可以猜到的,因此雙因素身份驗證(或實際上是多因素身份驗證)已成為一種使用動態元素來驗證用戶身份的方法。 通過雙重身份驗證,用戶設備將共享一個實時登錄令牌,如 OTP 或 QR 碼。 它的有效期有限,通常約為 10-15 分鐘,並且只能對該會話的用戶進行身份驗證。


除了用戶名和密碼之外,額外的令牌很難破解。 因此,它為登錄頁面增加了另一層安全性。 您可以安裝 WP 2FA 之類的插件,輕鬆為您的網站添加雙重身份驗證。
要了解更多信息,請參閱我們的 WordPress 雙重身份驗證指南。
5. 使用強而獨特的密碼
安全性的最大缺陷是用戶自己,以及他們設置的密碼。 密碼是任何安全系統中最大的漏洞,因為(可以理解的)人類傾向於設置易於記憶的密碼並在不同帳戶中重複使用它們。 這實際上是兩個不同的密碼問題。
首先,切勿在不同帳戶之間重複使用密碼。 許多蠻力機器人使用從數據洩露中竊取的密碼來攻擊登錄頁面。 其次,您可以想像,像“密碼”這樣的密碼非常容易猜到。 使用至少 12 個字符的亂碼,或者最好使用密碼短語作為密碼。

我們建議使用 LastPass 或 1Password 之類的密碼管理器,以避免重複使用密碼,並根據需要生成強密碼。 如果您懷疑某個帳戶已被盜用,您可以從 MalCare 儀表板的強化部分強制重置所有密碼。
有關更多詳細信息,請參閱我們關於 WordPress 密碼安全性的文章。
6. 在 WordPress 中禁用 XML-RPC
XML-RPC 文件是另一種驗證用戶的方式。 換句話說,它是訪問管理儀表板的另一種方法,因此也容易受到暴力攻擊。 它是一個很大程度上被棄用的文件,並且沒有被許多插件或主題積極使用。 它繼續包含在 WordPress 中以實現向後兼容性,因此禁用它相對安全。
這是我們關於如何在 wordpress 中禁用 XML-RPC 的指南。
7. 定期檢查和刪除未使用的用戶帳戶
休眠帳戶通常是黑客的目標,因為如果他們的帳戶被劫持,用戶可能不會注意到。 此外,休眠帳戶長時間使用相同的密碼,使其更容易被暴力破解。
因此,請定期檢查用戶帳戶,並刪除任何未使用的帳戶。 要獲得額外積分,請確保每個帳戶都具有管理其帳戶所需的最低用戶權限。 例如,讓每個人都成為管理員是很愚蠢的。
8.考慮在WordPress中進行地理封鎖
如果您從一個位置看到大量機器人流量,您可以考慮屏蔽整個國家/地區。 但是,我們建議您在使用地理封鎖時謹慎行事。 僅當您完全不期望來自該位置的任何合法用戶時,它才有用。
此外,請注意它可以阻止該地區的優秀機器人。 例如,Googlebot 可以從其在世界上的任何服務器位置運行,您肯定希望 Googlebot 訪問您的網站。
這是在 WordPress 中阻止國家/地區的分步指南。
9.禁用目錄瀏覽
默認情況下,大多數 WordPress 核心文件夾和文件都可以通過瀏覽器公開訪問。 例如,您可以在瀏覽器的 URL 欄中輸入 yourwebsite.com/wp-includes,該文件夾的全部內容將立即可見。
儘管目錄瀏覽本身不是漏洞,但它可以揭示有關站點的信息,這些信息又可用於利用漏洞。 /wp-content 文件夾有插件和主題,如果黑客可以看到安裝了哪些插件和它們的版本號,他們就有可能找到並利用漏洞。 這是一種不太流行的蠻力攻擊類型,稱為目錄蠻力。
因此,作為保護措施,完全禁用目錄瀏覽是有意義的。
這是我們在 WordPress 中禁用目錄瀏覽的完整指南。
你會在別處讀到但應該避免做的事情
那裡有大量善意但糟糕的安全建議。 所以,除了我們要做的事情列表之外,我們還列出了不做的事情。
- 密碼保護 wp-admin 目錄:根本不要這樣做。 它幾乎出現在每一篇暴力預防文章中。 通過限制對 admin-ajax.php 文件的訪問,密碼保護 wp-admin 目錄將破壞未登錄用戶的 AJAX。
AJAX 通常用於為網站的動態方面提供動力。 假設您的網站上有一個搜索欄。 如果訪問者使用它來搜索產品,則只會重新加載搜索結果,而不是整個網站。 這是一個巨大的資源節省,並使網站的用戶體驗更快更好。
您還將看到許多排除 admin-ajax.php 文件的解決方法,但它們並不總是能無縫地工作。 最重要的是,變通辦法所需要的努力並未反映相應數量的安全性。 因此,這是一個巨大的進步,幾乎沒有額外的好處。 - 更改您的 wp-login URL:您經常在 WordPress 強化文章中看到此建議。 但是,我們強烈建議不要更改登錄 URL,因為如果丟失幾乎無法恢復。
- 避免使用 admin 作為用戶名:由於蠻力機器人有效地嘗試猜測用戶名和密碼組合,因此避免使用明顯的用戶名(如 admin)有一些價值。 WordPress 不允許您從儀表板更改用戶名,因此您需要安裝插件才能這樣做。
但是,此措施的價值有限,我們建議您不要在此花費過多的時間和精力。 還有其他方法可以從某些類型的網站(例如會員網站)中恢復用戶名。 為成員設置唯一用戶名、執行政策以及處理人們忘記其唯一用戶名時不可避免的後果所需的努力不值得有限的有益效果。
蠻力攻擊對 WordPress 的影響
有兩種方法可以考慮蠻力攻擊的影響。 首先,攻擊期間會發生什麼,其次,如果攻擊成功會發生什麼。
一般來說,對於攻擊,第一個問題不會經常出現,因為網站受到攻擊時幾乎沒有影響。 一旦攻擊成功,後果就會浮出水面。 但是,暴力攻擊並非如此。
當您的網站被暴力破解時會發生什麼?
您將看到對服務器資源的直接影響。 因為攻擊正在用請求轟炸您的登錄頁面,所以服務器必須對每一個請求做出響應。 因此,您將在您的網站上看到服務器使用率增加的所有影響:網站速度變慢、某些用戶無法登錄、停機、無法訪問等等。 Web 主機也可以快速限制服務器的使用,因為這會影響它們的指標,尤其是在您使用共享主機的情況下。
如果蠻力攻擊成功會發生什麼?
如果攻擊成功,您可以合理地預期會看到惡意軟件或某種形式的破壞。 黑客想要訪問您的網站的原因有很多,但沒有一個是好的。
如果這還不夠糟糕,您的網站可能會成為殭屍網絡的一部分,並在未經您同意的情況下被用來攻擊其他網站。 這可能會產生重大影響,因為如果您的網站是殭屍網絡的一部分,其他安全系統會將您的網站標記為惡意網站。
處理 WordPress 蠻力攻擊的後果
如果暴力攻擊成功,您應該假設最壞的情況:您的網站已被入侵。 因此,您的首要任務是保護您的網站。 以下是控制損害應採取的主要步驟:
- 強制註銷所有用戶並更改所有密碼
- 立即掃描您的網站以查找惡意軟件
一旦您確定您的網站沒有惡意軟件,請實施上面列出的預防措施。 我們強烈建議安裝 MalCare,它負責登錄保護和 bot 保護,同時還打包了惡意軟件掃描程序、清理程序和高級防火牆以防萬一。 安裝 MalCare 後,您可以放心,您的網站不會受到 WordPress 攻擊。
您的網站容易受到暴力攻擊嗎?
是的,所有系統都容易受到暴力攻擊。 由於它們的工作方式,可以對任何具有登錄頁面的系統發起暴力攻擊。 WordPress 網站也不例外。
WordPress 的流行使其成為黑客的目標。 首先,這是因為大部分互聯網都是由 WordPress 驅動的,其次是因為 WordPress 的某些方面是眾所周知的。 在一個與暴力攻擊特別相關的示例中,WordPress 不限制不正確的登錄嘗試。 正如我們在措施部分所討論的,您可以使用 MalCare 的限制登錄功能來糾正此問題。
最重要的是,許多網站所有者傾向於使用易於記憶的用戶名和密碼。 常見的包括 admin 作為用戶名和 password1234 或 12345678 設置為密碼。
這些因素使您的網站容易受到暴力攻擊。
蠻力攻擊的類型
蠻力攻擊不同於其他類型的威脅和攻擊,如社會工程攻擊或 XSS 攻擊。 社會工程攻擊,如網絡釣魚,通過偽裝成受信任的實體來操縱人們分享他們的憑據,而 XSS 攻擊則利用網站上的漏洞。 蠻力攻擊依靠弱或被盜的憑據來成功。
你會在野外看到一些蠻力攻擊。 他們都遵循相同的試錯模式,但他們嘗試的憑據或他們使用的機制可能會有所不同。 以下是一些最常見的暴力攻擊類型:
- 簡單攻擊:簡單的蠻力攻擊使用邏輯來根據他們對用戶的了解來猜測憑據,例如從社交媒體網站獲得的寵物名字或生日。
- 憑據填充:這種類型的攻擊使用從違規中獲得的數據,假設用戶傾向於在多個系統中使用相同的用戶名和密碼。
- 字典攻擊:顧名思義,這些機器人使用字典文件作為密碼。 這可以是一本實際的字典,也可以是專門為猜測密碼而創建的字典。
- 彩虹表攻擊:在概念上類似於字典攻擊,彩虹表是一種特殊的字典列表。 彩虹表不是密碼列表,而是包含哈希密碼列表。
- 密碼噴射:這種類型的攻擊在邏輯上是一種反向暴力攻擊。 在典型的蠻力攻擊中,特定的用戶名是目標,並使用密碼進行猜謎遊戲。 相反,通過密碼噴射,會針對多個用戶名嘗試密碼列表以找到潛在的匹配項。 與有針對性的攻擊相比,這是一種更分散的攻擊。
作為站點管理員,您可能不需要了解不同類型的蠻力攻擊之間的區別。 但是,這些術語通常可以互換使用,因此有助於了解底層機制。
其他良好的安全實踐
防止 WordPress 中的暴力攻擊是一個令人欽佩的目標,但這只是網站安全的一部分。 以下是我們的一些重要建議,可確保您的網站安全且無惡意軟件:
- 使用良好的惡意軟件掃描程序和清潔器安裝安全插件
- 保持一切更新
- 投資於每日備份
如需完整的建議列表,請查看我們的終極安全指南。
結論
蠻力攻擊可以削弱網站,即使他們沒有成功。 處理這種潛在威脅的最佳方法是安裝具有集成機器人保護功能的防火牆,例如 MalCare。
即使暴力攻擊成功,MalCare 也會幫助您快速檢測惡意軟件並將其刪除。 與所有感染一樣,快速行動可以顯著限制損害。
常見問題
什麼是 WordPress 中的蠻力攻擊?
WordPress 中的蠻力攻擊是指黑客試圖通過猜測合法用戶帳戶的登錄憑據來訪問站點的 wp-admin。 蠻力攻擊利用機器人在 wp 登錄頁面上嘗試數百、數千甚至數百萬個密碼,以嘗試猜測正確的密碼。
蠻力攻擊不僅對網站來說是危險的,如果它們成功的話,也會對網站性能產生巨大影響。 攻擊會耗盡服務器資源,有時甚至會導致站點崩潰。
如何保護您的 WordPress 網站免受暴力攻擊?
保護您的網站免受暴力攻擊的最有效方法是限制登錄嘗試。 默認情況下,WordPress 允許無限制的登錄嘗試,因此您可以使用 MalCare 保護您的網站免受暴力攻擊。 除了登錄保護之外,MalCare 還包括機器人保護和高級防火牆,這兩者都有助於保護您的站點,並減輕暴力攻擊的不良影響。