WordPress蛮力保护的完整指南(+4 最佳插件)

已发表: 2022-08-09

当黑客试图通过不断尝试新密码来访问您的站点文件时,就会发生暴力攻击。 如果他们成功了,他们可能会窃取您的私人数据、添加恶意软件,甚至完全关闭您的网站。

幸运的是,您可以轻松阻止这些暴力攻击。 通过简单地更新您的登录信息或启用双重身份验证,您可以让黑客更难进入您的网站。 另一种有效的方法是安装像 Jetpack 这样的蛮力保护插件。

在这篇文章中,我们将解释什么是蛮力攻击以及如何防止它们。 然后,我们将推荐用于蛮力保护的最佳插件。

暴力攻击简介

当黑客使用试错法访问您的网站时,就会发生蛮力攻击。 这通常涉及使用自动化软件猜测您的登录信息。 从本质上讲,黑客会尝试许多不同的密码和用户名组合,直到找到你的。

其他形式的黑客攻击通常利用您的 WordPress 网站上的漏洞。 例如,黑客可以通过过时的软件、插件或主题访问您的数据。 即使是旧的 PHP 版本也可能使您的网站容易受到攻击。

另一方面,蛮力攻击依赖于弱登录凭据。 如果您有一个可猜测的密码,例如“123456”,黑客可以使用自动化软件进入您的网站。

蛮力攻击比您想象的更常见。 事实上,它们正变得比以往任何时候都更具威胁性。 到 2021 年底,暴力攻击率增加了 160%。

如果您的网站遭受暴力攻击,黑客可以:

  • 窃取您的私人数据
  • 将恶意软件添加到您的网站
  • 降低您的可信度和/或搜索排名
  • 完全删除您的内容

不用说,您需要保护您的网站免受这些危险。 尽管默认的 WordPress 设置不提供针对暴力攻击的额外保护,但您可以采取一些措施来防止它们发生。

如何阻止对 WordPress 的暴力攻击

既然您了解了蛮力攻击,那么让我们讨论如何保护您的 WordPress 网站免受这些攻击。

第 1 步:更新您的用户名

由于蛮力攻击涉及猜测登录信息,您可以通过更新您的凭据来保护您的 WordPress 网站。 首先,您应该考虑选择一个唯一的用户名。

在旧版本的 WordPress 中,默认用户名是“admin”。 现在,新帐户持有人可以在首次登录时选择他们的用户名。但如果您的帐户较旧,则可能需要更新您的用户名。

要查看您当前的用户名,请打开您的 WordPress 仪表板。 然后,导航到用户 → 个人资料。 您将在“名称”部分下找到您的用户名。

在 WordPress 中查看您的用户名

如果您已经拥有唯一的用户名,请跳至后续步骤。 如果您将admin视为您的用户名,则可能需要更改它。 不幸的是,您将无法直接在仪表板中编辑您的个人资料。

更改 WordPress 用户名的最简单方法之一是创建新用户。 然后,您可以为其分配一个唯一的用户名并赋予它相同的管理权限。 这种方法的唯一缺点是您必须使用新的电子邮件地址。

首先,转到用户 → 添加新的。 在此页面上,创建一个新用户名并输入您的电子邮件地址。 请务必将用户角色设置为Administrator

在 WordPress 中创建新用户

如果您想使用相同的电子邮件地址,您只需在用户名后添加一个带有附加字母的加号即可。 例如,如果您的普通电子邮件地址是“[email protected]”,则可以使用“[email protected]”。 WordPress 会认为这是一个新的电子邮件地址,但它会使用相同的收件箱。

接下来,您需要退出 WordPress 并使用新用户名重新登录。然后,转到“所有用户”页面并单击管理员用户角色下方的删除

在删除过程中,您需要将其内容移至新用户名。 为此,请选择Attribute all content to [new username]这是一个关键步骤——否则您的内容将被删除。

将内容归因于新用户

最后,点击确认删除。 如果您想开始使用分配给管理员用户名的相同电子邮件地址,您可以立即更新。

如果您想更改现有用户名,则需要通过您的 WordPress 数据库执行此操作。 请注意,对数据库进行更改可能很危险,因此如果您已经有这方面的经验,最好这样做。 要更改您的用户名,请执行以下步骤:

  1. 单击托管服务提供商 cpanel 中的 phpMyAdmin 工具。 确切位置可能因您的主机而异。
  2. 在左侧面板中单击您的 WordPress 站点的数据库。 这将打开您的数据库表。
  3. 单击wp_users表。 默认情况下会设置前缀“wp_”,但您的主机可能已将其更改为其他内容。 例如,该表可能称为“janb_users”。
  4. 在右侧找到您要更改的用户名(在本例中为“管理员”),然后单击编辑。
  5. user_login字段中,输入您要设置的任何新用户名。
  6. 单击“开始”按钮。

现在,您可以使用新用户名登录了!

第 2 步:使用强密码

保护您的网站免受暴力攻击的另一种方法是使用强密码。 由于黑客使用僵尸网络(机器人网络)来随机猜测密码,因此拥有一个具有唯一数字和字母字符串的密码会有所帮助。

这些是强密码的特征:

  • 它有 10 到 50 个字符
  • 它使用大写和小写字母
  • 它使用数字和特殊字符
  • 它与用于其他帐户或网站的密码不同

要更新您的 WordPress 密码,请导航至用户 → 个人资料。 然后,向下滚动到Account Management

接下来,单击设置新密码。 完成此操作后,WordPress 将自动为您生成一个强密码。 这将是一个难以猜测的复杂凭证。

在 WordPress 中生成新密码

您可以使用此密码或创建自己的密码。 当您键入时,WordPress 将指示您的新密码的强度或强度。

弱密码提示

为确保您的新密码安全且随机,您可以使用密码生成器。 该工具可以自动创建包含大小写字母以及数字和符号的密码。

将新密码粘贴到文本框中后,滚动到页面底部。 单击更新配置文件以保存您的更改。 为了最大限度地防止暴力攻击,请考虑每四个月更改一次您的 WordPress 密码。

第 3 步:添加双重身份验证

当您仅使用密码登录 WordPress 站点时,这称为单步身份验证。 您还可以实施两步或两因素身份验证。

通过两步验证,您将提供两种验证形式来登录您的站点。 您仍需输入密码,但还必须在手机或其他设备上确认您的身份。

Jetpack 可以轻松地为您的网站添加安全身份验证。 首先,在 WordPress 中安装并激活 Jetpack。 然后,在 Jetpack 仪表板中,单击Manage security settings

滚动到页面底部并找到WordPress.com 登录部分。 在这里,打开Require accounts to use WordPress.com 两步验证

在 WordPress 中打开双因素身份验证

然后,在“安全”选项卡中找到“两步验证”页面。 您可以选择使用应用程序或 SMS 设置双重身份验证。

设置两因素身份验证

如果您选择第一个选项,则需要下载 Google Authenticator (iPhone | Android) 等应用程序。 WordPress 将提供一个二维码,您可以使用应用程序扫描该二维码,然后输入生成的代码。

二维码验证

当您单击使用 SMS 设置时,您必须输入您的电话号码。 验证发送到手机的代码后,您就可以开始使用双重身份验证了。

通过文本设置双因素身份验证

现在您可以在每次登录 WordPress 时验证您的身份! 此设置可以提供针对暴力攻击的增强保护。

第 4 步:安装暴力攻击防护插件

在采取一些基本步骤来保护您的登录页面后,您还可以从安装蛮力保护插件中受益。 正确的工具可以在暴力攻击影响您的网站之前自动阻止它们。

当您尝试为蛮力保护选择最佳插件时,您应该牢记几个因素。 为了保护您的网站,您需要找到一个在幕后工作的插件,以防止和阻止暴力攻击。

以下是您应该在蛮力保护插件中寻找的一些基本功能:

  • 有限的登录尝试
  • 两因素身份验证
  • 防火墙
  • IP 地址黑名单

此外,许多蛮力保护插件为您的网站提供一般安全性。 例如,Jetpack Security 不仅可以防止暴力攻击,还可以执行恶意软件扫描、创建自动备份和筛选垃圾邮件。

Jetpack 也是最容易配置的蛮力保护插件之一。 安装并激活 Jetpack 后,您可以在仪表板中打开蛮力保护

在 WordPress 中打开蛮力攻击保护

一键开启Jetpack,防止暴力破解!

用于暴力攻击保护的四个最佳 WordPress 插件

安装插件可能是防止暴力攻击的最有效方法。 不过,您可能不知道哪个选项适合您的网站。 虽然有很多蛮力保护插件,但有四个是最好的!

1. 喷气背包

Jetpack 主页图片

当您下载 Jetpack 时,您可以访问暴力攻击保护和许多其他安全功能。 Jetpack 还提供性能和增长工具,因此您可以选择最适合您需求的计划。

如果您只需要蛮力攻击保护,那么好消息是它完全免费!

Jetpack 暴力攻击保护的主要特点

  • 一键激活
  • 允许的 IP
  • 能够查看被阻止的攻击数量
  • 两因素身份验证

优点

  • 如果您由于 Jetpack 的保护措施而意外锁定了您的登录页面,您可以向您的电子邮件地址发送一个特殊的登录链接。
  • Jetpack 将每个新 IP 地址与其全球恶意地址数据库进行比较。
  • 借助 Jetpack,您还可以访问扩展的安全措施,例如停机时间监控、站点备份和恶意软件扫描。

缺点

  • Jetpack 要求您连接到 WordPress.com 帐户。
  • 如果您的服务器配置错误,它可能不会返回 IP 地址,这可能会禁用蛮力保护功能。

易于使用

使用 Jetpack,您可以一步实现暴力攻击防御。 安装后,只需访问 Jetpack 主仪表板即可打开该功能。 然后,您可以简单地让 Jetpack 完成这项工作而无需任何维护。

定价

任何 WordPress 用户都可以通过 Jetpack 免费开始使用暴力破解保护。

2. 苏库里

Sucuri主页英雄形象

Sucuri 是一款专门用于网站监控、保护和性能的工具。 通过实施 Web 应用程序防火墙 (WAF),Sucuri 可以阻止对您网站的暴力攻击。

主要特点

  • Web 应用程序防火墙 (WAF)
  • 限制登录尝试
  • 阻止机器人的自动化工具
  • 列入白名单
  • 双重身份验证、验证码和密码

优点

  • Sucuri 包括地理封锁,因此您可以阻止来自特定 IP 范围的所有访问者。 此功能可以防止来自某些国家/地区的暴力攻击。
  • Sucuri 的防火墙会在流量到达您的 WordPress 网站之前对其进行清理。

缺点

  • Sucuri 的免费版本不提供暴力预防。 要访问 WAF,您需要购买订阅。
  • 尽管 Sucuri 是预防暴力攻击的有效选择,但它的成本很高。 还有其他具有类似功能的免费插件。

易于使用

与其他插件相比,Sucuri 的设置过程更为复杂。 要开始使用 Sucuri,您需要购买计划并设置防火墙。 这涉及集成您的 cPanel 帐户并手动更改您的 DNS 记录。

定价

使用 Sucuri,蛮力保护需要高级计划。 此功能附带其所有订阅选项,起价为每年 199.99 美元。

3. Wordfence 安全

Wordfence 插件主页

Wordfence Security 是一个插件,它提供了一个防火墙和安全扫描器。 该工具提供多种形式的登录安全性,包括双重身份验证、列入许可的 IP 地址和 reCAPTCHA 密钥。

主要特点

  • 限制登录尝试
  • 记录成功和失败的登录尝试
  • 不断更新的 IP 黑名单
  • 手动拦截工具
  • 两因素身份验证和 reCAPTCHA

优点

  • 由于它带有 Web 应用程序防火墙,因此 Wordfence 可以识别和阻止您网站上的恶意流量。
  • 如果任何管理密码被泄露,您可以阻止该用户的任何登录。
  • 当您使用免费版本时,Wordfence 每三天执行一次预定的安全扫描。

缺点

  • 对于 Wordfence 的免费版本,生成的数据会延迟 30 天。 要接收实时威胁情报,您必须升级到付费计划。
  • 免费插件也不允许您手动安排扫描。

易于使用

Wordfence 为初次使用的用户提供了一个非常简单的设置过程。 安装并激活免费插件后,它会提示您输入 Wordfence 可以发送警报的电子邮件地址。 然后,您可以通过实施防火墙和登录安全功能来添加蛮力保护。

定价

甚至 Wordfence Security 的免费版本也为无限站点提供了内置的强力保护。 如果您需要高级支持,您可以购买高级计划。 这些起价为每年 99 美元。

4. iThemes 安全

iThemes 安全英雄形象

iThemes Security 确保您可以在十分钟内开始保护您的网站免受暴力攻击。 使用此插件,您可以使用双重身份验证和密码要求快速自定义登录页面。 另外,iThemes 会自动将您的网站添加到其蛮力保护网络。

主要特点

  • 主机和用户的最大登录尝试次数
  • 本地和网络暴力保护
  • 最近的暴力攻击图表
  • 为所有用户设置密码要求的能力
  • 两因素身份验证

优点

  • iThemes Security 的主要优势之一是其蛮力保护网络。 它记录了一百万个不同网站的可疑活动,识别恶意 IP。
  • 您可以为您的网站设置最大登录尝试次数,这可以防止自动登录猜测。

缺点

  • 如果您想在登录页面中添加额外的安全功能,例如 reCAPTCHA 字段,您需要购买高级插件。
  • 免费插件不包括实时安全报告。

易于使用

安装后,iThemes 插件将引导您逐步完成设置过程。 在这里,您可以启用本地和网络暴力保护。 您还可以选择添加双重身份验证以提高安全性。

定价

iThemes Security 是一个免费的 WordPress 插件。 如果您想使用实时安全仪表板,您可以购买高级版,起价为每年 80 美元。

阻止暴力攻击的顶级插件的比较

喷气背包苏库里Wordfence 安全iThemes 安全
限制登录尝试是的是的是的是的
两因素身份验证是的是的是的是的
实时报告是的是的是的,带有高级扩展是的,带有高级扩展
IP 封锁是的是的是的是的
重新验证码是的是的是的是的,带有高级扩展
网络暴力保护是的是的
使用方便一键激活需要手动更改 DNS 记录用于管理防火墙、扫描和登录安全的简单选项卡用于配置登录安全性和用户组的设置向导
价格自由的每年 199.99 美元至 499.99 美元免费 - 每年 950 美元免费 - 每年 199 美元

常见问题 (FAQ)

既然您已经了解了暴力攻击以及如何防止它们,那么让我们来回答一些问题吧!

WordPress中的蛮力保护成本是多少?

如果您下载像 Jetpack 这样的蛮力保护插件,蛮力保护可以免费。 Sucuri 等其他提供商需要付费订阅。

如何在 WordPress 中设置暴力攻击保护?

设置蛮力保护将根据您选择的提供商而有所不同。 某些选项要求您配置防火墙,这可能很复杂。 或者,Jetpack 是一个让这个过程变得简单的插件。 激活后,您只需一项设置即可开启蛮力保护。

我还能做些什么来保护我的 WordPress 网站?

您可以采取许多通用安全措施来保护您的网站。 首先,考虑对核心软件、主题和插件执行一致的更新。 您还可以通过备份您的网站来保护您的数据安全。

另一个简单的安全措施是阻止垃圾邮件。 删除未使用的插件并监控您的站点活动也是一个好主意。 最后,确保您定期扫描恶意软件并在发现任何情况时立即采取行动。

保护您的网站免受暴力攻击

如果没有正确的保护,您的网站可能会成为暴力攻击的牺牲品。 幸运的是,蛮力保护插件是您网站的一个简单补充。 通过正确的安全措施,您可以阻止黑客窃取您的数据。

回顾一下,这是在 WordPress 中实施暴力攻击保护的方法:

  1. 更新您的用户名。
  2. 使用强密码。
  3. 添加双重身份验证。
  4. 安装像 Jetpack 这样的暴力攻击保护插件。

遵循这些步骤后,您将能够保护您的信息的私密性和安全性! 然后,只需让您的软件保持最新、备份您的文件并监控您的网站是否存在垃圾邮件和可疑活动。