WordPress蠻力保護的完整指南(+4 最佳插件)

已發表: 2022-08-09

當黑客試圖通過不斷嘗試新密碼來訪問您的站點文件時,就會發生暴力攻擊。 如果他們成功了,他們可能會竊取您的私人數據、添加惡意軟件,甚至完全關閉您的網站。

幸運的是,您可以輕鬆阻止這些暴力攻擊。 通過簡單地更新您的登錄信息或啟用雙重身份驗證,您可以讓黑客更難進入您的網站。 另一種有效的方法是安裝像 Jetpack 這樣的蠻力保護插件。

在這篇文章中,我們將解釋什麼是蠻力攻擊以及如何防止它們。 然後,我們將推薦用於蠻力保護的最佳插件。

暴力攻擊簡介

當黑客使用試錯法訪問您的網站時,就會發生蠻力攻擊。 這通常涉及使用自動化軟件猜測您的登錄信息。 從本質上講,黑客會嘗試許多不同的密碼和用戶名組合,直到找到你的。

其他形式的黑客攻擊通常利用您的 WordPress 網站上的漏洞。 例如,黑客可以通過過時的軟件、插件或主題訪問您的數據。 即使是舊的 PHP 版本也可能使您的網站容易受到攻擊。

另一方面,蠻力攻擊依賴於弱登錄憑據。 如果您有一個可猜測的密碼,例如“123456”,黑客可以使用自動化軟件進入您的網站。

蠻力攻擊比您想像的更常見。 事實上,它們正變得比以往任何時候都更具威脅性。 到 2021 年底,暴力攻擊率增加了 160%。

如果您的網站遭受暴力攻擊,黑客可以:

  • 竊取您的私人數據
  • 將惡意軟件添加到您的網站
  • 降低您的可信度和/或搜索排名
  • 完全刪除您的內容

不用說,您需要保護您的網站免受這些危險。 儘管默認的 WordPress 設置不提供針對暴力攻擊的額外保護,但您可以採取一些措施來防止它們發生。

如何阻止對 WordPress 的暴力攻擊

既然您了解了蠻力攻擊,讓我們討論如何保護您的 WordPress 網站免受它們的侵害。

第 1 步:更新您的用戶名

由於蠻力攻擊涉及猜測登錄信息,您可以通過更新您的憑據來保護您的 WordPress 網站。 首先,您應該考慮選擇一個唯一的用戶名。

在舊版本的 WordPress 中,默認用戶名是“admin”。 現在,新帳戶持有人可以在首次登錄時選擇他們的用戶名。但如果您的帳戶較舊,則可能需要更新您的用戶名。

要查看您當前的用戶名,請打開您的 WordPress 儀表板。 然後,導航到用戶 → 個人資料。 您將在“名稱”部分下找到您的用戶名。

在 WordPress 中查看您的用戶名

如果您已經擁有唯一的用戶名,請跳至後續步驟。 如果您將admin視為您的用戶名,則可能需要更改它。 不幸的是,您將無法直接在儀表板中編輯您的個人資料。

更改 WordPress 用戶名的最簡單方法之一是創建新用戶。 然後,您可以為其分配一個唯一的用戶名並賦予它相同的管理權限。 這種方法的唯一缺點是您必須使用新的電子郵件地址。

首先,轉到用戶 → 添加新的。 在此頁面上,創建一個新用戶名並輸入您的電子郵件地址。 請務必將用戶角色設置為Administrator

在 WordPress 中創建新用戶

如果您想使用相同的電子郵件地址,您只需在用戶名後添加一個帶有附加字母的加號即可。 例如,如果您的普通電子郵件地址是“[email protected]”,則可以使用“[email protected]”。 WordPress 會認為這是一個新的電子郵件地址,但它會使用相同的收件箱。

接下來,您需要退出 WordPress 並使用新用戶名重新登錄。然後,轉到“所有用戶”頁面並單擊管理員用戶角色下方的刪除

在刪除過程中,您需要將其內容移至新用戶名。 為此,請選擇Attribute all content to [new username]這是一個關鍵步驟——否則您的內容將被刪除。

將內容歸因於新用戶

最後,點擊確認刪除。 如果您想開始使用分配給管理員用戶名的相同電子郵件地址,您可以立即更新。

如果您想更改現有用戶名,則需要通過您的 WordPress 數據庫執行此操作。 請注意,對數據庫進行更改可能很危險,因此如果您已經有這方面的經驗,最好這樣做。 要更改您的用戶名,請執行以下步驟:

  1. 單擊託管服務提供商 cpanel 中的 phpMyAdmin 工具。 確切位置可能因您的主機而異。
  2. 在左側面板中單擊您的 WordPress 站點的數據庫。 這將打開您的數據庫表。
  3. 單擊wp_users表。 默認情況下會設置前綴“wp_”,但您的主機可能已將其更改為其他內容。 例如,該表可能稱為“janb_users”。
  4. 在右側找到您要更改的用戶名(在本例中為“管理員”),然後單擊編輯。
  5. user_login字段中,輸入您要設置的任何新用戶名。
  6. 單擊“開始”按鈕。

現在,您可以使用新用戶名登錄了!

第 2 步:使用強密碼

保護您的網站免受暴力攻擊的另一種方法是使用強密碼。 由於黑客使用殭屍網絡(機器人網絡)來隨機猜測密碼,因此擁有一個具有唯一數字和字母字符串的密碼會有所幫助。

這些是強密碼的特徵:

  • 它有 10 到 50 個字符
  • 它使用大寫和小寫字母
  • 它使用數字和特殊字符
  • 它與用於其他帳戶或網站的密碼不同

要更新您的 WordPress 密碼,請導航至用戶 → 個人資料。 然後,向下滾動到Account Management

接下來,單擊設置新密碼。 完成此操作後,WordPress 將自動為您生成一個強密碼。 這將是一個難以猜測的複雜憑證。

在 WordPress 中生成新密碼

您可以使用此密碼或創建自己的密碼。 當您鍵入時,WordPress 將指示您的新密碼的強度或強度。

弱密碼提示

為確保您的新密碼安全且隨機,您可以使用密碼生成器。 該工具可以自動創建包含大小寫字母以及數字和符號的密碼。

將新密碼粘貼到文本框中後,滾動到頁面底部。 單擊更新配置文件以保存您的更改。 為了最大限度地防止暴力攻擊,請考慮每四個月更改一次您的 WordPress 密碼。

第 3 步:添加雙重身份驗證

當您僅使用密碼登錄 WordPress 站點時,這稱為單步身份驗證。 您還可以實施兩步或兩因素身份驗證。

通過兩步驗證,您將提供兩種驗證形式來登錄您的站點。 您仍需輸入密碼,但還必須在手機或其他設備上確認您的身份。

Jetpack 可以輕鬆地為您的網站添加安全身份驗證。 首先,在 WordPress 中安裝並激活 Jetpack。 然後,在 Jetpack 儀表板中,單擊Manage security settings

滾動到頁面底部並找到WordPress.com 登錄部分。 在這裡,打開Require accounts to use WordPress.com 兩步驗證

在 WordPress 中打開雙因素身份驗證

然後,在“安全”選項卡中找到“兩步驗證”頁面。 您可以選擇使用應用程序或 SMS 設置雙重身份驗證。

設置兩因素身份驗證

如果您選擇第一個選項,則需要下載 Google Authenticator (iPhone | Android) 等應用程序。 WordPress 將提供一個二維碼,您可以使用應用程序掃描該二維碼,然後輸入生成的代碼。

二維碼驗證

當您單擊使用 SMS 設置時,您必須輸入您的電話號碼。 驗證發送到手機的代碼後,您就可以開始使用雙重身份驗證了。

通過文本設置雙因素身份驗證

現在您可以在每次登錄 WordPress 時驗證您的身份! 此設置可以提供針對暴力攻擊的增強保護。

第 4 步:安裝暴力攻擊防護插件

在採取一些基本步驟來保護您的登錄頁面後,您還可以從安裝蠻力保護插件中受益。 正確的工具可以在暴力攻擊影響您的網站之前自動阻止它們。

當您嘗試為蠻力保護選擇最佳插件時,您應該牢記幾個因素。 為了保護您的網站,您需要找到一個在幕後工作的插件,以防止和阻止暴力攻擊。

以下是您應該在蠻力保護插件中尋找的一些基本功能:

  • 有限的登錄嘗試
  • 兩因素身份驗證
  • 防火牆
  • IP 地址黑名單

此外,許多蠻力保護插件為您的網站提供一般安全性。 例如,Jetpack Security 不僅可以防止暴力攻擊,還可以執行惡意軟件掃描、創建自動備份和篩選垃圾郵件。

Jetpack 也是最容易配置的蠻力保護插件之一。 安裝並激活 Jetpack 後,您可以在儀表板中打開蠻力保護

在 WordPress 中打開蠻力攻擊保護

一鍵開啟Jetpack,防止暴力破解!

用於暴力攻擊保護的四個最佳 WordPress 插件

安裝插件可能是防止暴力攻擊的最有效方法。 不過,您可能不知道哪個選項適合您的網站。 雖然有很多蠻力保護插件,但有四個是最好的!

1. 噴氣背包

Jetpack 主頁圖片

當您下載 Jetpack 時,您可以訪問暴力攻擊保護和許多其他安全功能。 Jetpack 還提供性能和增長工具,因此您可以選擇最適合您需求的計劃。

如果您只需要蠻力攻擊保護,那麼好消息是它完全免費!

Jetpack 暴力攻擊保護的主要特點

  • 一鍵激活
  • 允許的 IP
  • 能夠查看被阻止的攻擊數量
  • 兩因素身份驗證

優點

  • 如果您由於 Jetpack 的保護措施而意外鎖定了您的登錄頁面,您可以向您的電子郵件地址發送一個特殊的登錄鏈接。
  • Jetpack 將每個新 IP 地址與其全球惡意地址數據庫進行比較。
  • 借助 Jetpack,您還可以訪問擴展的安全措施,例如停機時間監控、站點備份和惡意軟件掃描。

缺點

  • Jetpack 要求您連接到 WordPress.com 帳戶。
  • 如果您的服務器配置錯誤,它可能不會返回 IP 地址,這可能會禁用蠻力保護功能。

易於使用

使用 Jetpack,您可以一步實現暴力攻擊防禦。 安裝後,只需訪問 Jetpack 主儀表板即可打開該功能。 然後,您可以簡單地讓 Jetpack 完成這項工作而無需任何維護。

定價

任何 WordPress 用戶都可以通過 Jetpack 免費開始使用暴力破解保護。

2. 蘇庫裡

Sucuri主頁英雄形象

Sucuri 是一款專門用於網站監控、保護和性能的工具。 通過實施 Web 應用程序防火牆 (WAF),Sucuri 可以阻止對您網站的暴力攻擊。

主要特點

  • Web 應用程序防火牆 (WAF)
  • 限制登錄嘗試
  • 阻止機器人的自動化工具
  • 列入白名單
  • 雙重身份驗證、驗證碼和密碼

優點

  • Sucuri 包括地理封鎖,因此您可以阻止來自特定 IP 範圍的所有訪問者。 此功能可以防止來自某些國家/地區的暴力攻擊。
  • Sucuri 的防火牆會在流量到達您的 WordPress 網站之前對其進行清理。

缺點

  • Sucuri 的免費版本不提供暴力預防。 要訪問 WAF,您需要購買訂閱。
  • 儘管 Sucuri 是預防暴力攻擊的有效選擇,但它的成本很高。 還有其他具有類似功能的免費插件。

易於使用

與其他插件相比,Sucuri 的設置過程更為複雜。 要開始使用 Sucuri,您需要購買計劃並設置防火牆。 這涉及集成您的 cPanel 帳戶並手動更改您的 DNS 記錄。

定價

使用 Sucuri,蠻力保護需要高級計劃。 此功能附帶其所有訂閱選項,起價為每年 199.99 美元。

3. Wordfence 安全

Wordfence 插件主頁

Wordfence Security 是一個插件,它提供了一個防火牆和安全掃描器。 該工具提供多種形式的登錄安全性,包括雙重身份驗證、列入許可的 IP 地址和 reCAPTCHA 密鑰。

主要特點

  • 限制登錄嘗試
  • 記錄成功和失敗的登錄嘗試
  • 不斷更新的 IP 黑名單
  • 手動攔截工具
  • 兩因素身份驗證和 reCAPTCHA

優點

  • 由於它帶有 Web 應用程序防火牆,因此 Wordfence 可以識別和阻止您網站上的惡意流量。
  • 如果任何管理密碼被洩露,您可以阻止該用戶的任何登錄。
  • 當您使用免費版本時,Wordfence 每三天執行一次預定的安全掃描。

缺點

  • 對於 Wordfence 的免費版本,生成的數據會延遲 30 天。 要接收實時威脅情報,您必須升級到付費計劃。
  • 免費插件也不允許您手動安排掃描。

易於使用

Wordfence 為初次使用的用戶提供了一個非常簡單的設置過程。 安裝並激活免費插件後,它會提示您輸入 Wordfence 可以發送警報的電子郵件地址。 然後,您可以通過實施防火牆和登錄安全功能來添加蠻力保護。

定價

甚至 Wordfence Security 的免費版本也為無限站點提供了內置的強力保護。 如果您需要高級支持,您可以購買高級計劃。 這些起價為每年 99 美元。

4. iThemes 安全

iThemes 安全英雄形象

iThemes Security 確保您可以在十分鐘內開始保護您的網站免受暴力攻擊。 使用此插件,您可以使用雙重身份驗證和密碼要求快速自定義登錄頁面。 另外,iThemes 會自動將您的網站添加到其蠻力保護網絡。

主要特點

  • 主機和用戶的最大登錄嘗試次數
  • 本地和網絡暴力保護
  • 最近的暴力攻擊圖表
  • 為所有用戶設置密碼要求的能力
  • 兩因素身份驗證

優點

  • iThemes Security 的主要優勢之一是其蠻力保護網絡。 它記錄了一百萬個不同網站的可疑活動,識別惡意 IP。
  • 您可以為您的網站設置最大登錄嘗試次數,這可以防止自動登錄猜測。

缺點

  • 如果您想在登錄頁面中添加額外的安全功能,例如 reCAPTCHA 字段,您需要購買高級插件。
  • 免費插件不包括實時安全報告。

易於使用

安裝後,iThemes 插件將引導您逐步完成設置過程。 在這裡,您可以啟用本地和網絡暴力保護。 您還可以選擇添加雙重身份驗證以提高安全性。

定價

iThemes Security 是一個免費的 WordPress 插件。 如果您想使用實時安全儀表板,您可以購買高級版,起價為每年 80 美元。

阻止暴力攻擊的頂級插件的比較

噴氣背包蘇庫裡Wordfence 安全iThemes 安全
限制登錄嘗試是的是的是的是的
兩因素身份驗證是的是的是的是的
實時報告是的是的是的,帶有高級擴展是的,帶有高級擴展
IP 封鎖是的是的是的是的
重新驗證碼是的是的是的是的,帶有高級擴展
網絡暴力保護是的是的
使用方便一鍵激活需要手動更改 DNS 記錄用於管理防火牆、掃描和登錄安全的簡單選項卡用於配置登錄安全性和用戶組的設置嚮導
價格自由的每年 199.99 美元至 499.99 美元免費 - 每年 950 美元免費 - 每年 199 美元

常見問題 (FAQ)

既然您已經了解了暴力攻擊以及如何防止它們,那麼讓我們來回答一些問題吧!

WordPress中的蠻力保護成本是多少?

如果您下載像 Jetpack 這樣的蠻力保護插件,蠻力保護可以免費。 Sucuri 等其他提供商需要付費訂閱。

如何在 WordPress 中設置暴力攻擊保護?

設置蠻力保護將根據您選擇的提供商而有所不同。 某些選項要求您配置防火牆,這可能很複雜。 或者,Jetpack 是一個讓這個過程變得簡單的插件。 激活後,您只需一項設置即可開啟蠻力保護。

我還能做些什麼來保護我的 WordPress 網站?

您可以採取許多通用安全措施來保護您的網站。 首先,考慮對核心軟件、主題和插件執行一致的更新。 您還可以通過備份您的網站來保護您的數據安全。

另一個簡單的安全措施是阻止垃圾郵件。 刪除未使用的插件並監控您的站點活動也是一個好主意。 最後,確保您定期掃描惡意軟件並在發現任何情況時立即採取行動。

保護您的網站免受暴力攻擊

如果沒有正確的保護,您的網站可能會成為暴力攻擊的犧牲品。 幸運的是,蠻力保護插件是您網站的一個簡單補充。 通過正確的安全措施,您可以阻止黑客竊取您的數據。

回顧一下,這是在 WordPress 中實施暴力攻擊保護的方法:

  1. 更新您的用戶名。
  2. 使用強密碼。
  3. 添加雙重身份驗證。
  4. 安裝像 Jetpack 這樣的暴力攻擊保護插件。

遵循這些步驟後,您將能夠保護您的信息的私密性和安全性! 然後,只需讓您的軟件保持最新、備份您的文件並監控您的網站是否存在垃圾郵件和可疑活動。