如何保护您的WordPress网站免受暴力攻击（逐步）

您想保护您的WordPress网站免受暴力攻击吗？这些攻击会降低您的网站速度，使其无法访问，甚至破解您的密码以在您的网站上安装恶意软件。在本文中，我们将向您展示如何保护WordPress网站免受暴力攻击。

什么是蛮力攻击？

蛮力攻击是一种利用尝试和错误技术入侵网站，网络或计算机系统的黑客方法。

黑客使用自动化软件将大量请求发送到目标系统。对于每个请求，这些软件都会尝试猜测获得访问权限所需的信息，例如密码或密码。

这些工具还可以通过使用不同的IP地址和位置来伪装自己，这使目标系统更难识别和阻止这些可疑活动。

成功的暴力攻击可以使黑客访问您网站的管理区域。他们可以安装后门程序，恶意软件，窃取用户信息并删除您网站上的所有内容。

即使发送失败的暴力攻击也可能因发送过多请求而造成严重破坏，这会减慢WordPress托管服务器的速度，甚至使它们崩溃。

话虽如此，让我们看一下如何保护WordPress网站免受暴力攻击。

步骤1.安装WordPress防火墙插件

蛮力攻击给您的服务器带来了很多负担。甚至失败的网站也会降低您的网站速度或使服务器完全崩溃。这就是为什么在它们到达您的服务器之前对其进行阻止很重要。

为此，您需要一个网站防火墙解决方案。防火墙可以过滤掉不良流量并阻止其访问您的站点。

您可以使用两种类型的网站防火墙。

应用程序级防火墙 –这些防火墙插件会在流量到达服务器后但在加载大多数WordPress脚本之前检查流量。这种方法效率不高，因为蛮力攻击仍会影响服务器负载。

DNS级网站防火墙 –这些防火墙通过其云代理服务器路由您的网站流量。这使他们只能将真正的流量发送到您的主虚拟主机服务器，同时提高WordPress的速度和性能。

我们建议使用Sucuri。它是网站安全性和市场上最好的WordPress防火墙的行业领导者。由于它是DNS级别的网站防火墙，因此意味着您的所有网站流量都通过其代理进行过滤，从而过滤掉不良流量。

我们在网站上使用Sucuri，您可以阅读我们完整的Sucuri评论以了解更多信息。

步骤2.安装WordPress更新

一些常见的暴力攻击会主动针对较旧版本的WordPress，流行的WordPress插件或主题中的已知漏洞。

WordPress核心和最流行的WordPress插件是开源的，漏洞通常可以通过更新快速修复。但是，如果无法安装更新，则您的网站容易受到那些旧威胁的攻击。

只需转到WordPress管理区域中的仪表板»更新页面以检查可用更新。此页面将显示WordPress核心，插件和主题的所有更新。

有关更多详细信息，请参阅有关如何正确更新WordPress插件的指南。

步骤3.保护WordPress管理员目录

WordPress网站上的大多数蛮力攻击都试图访问WordPress管理区域。您可以在服务器级别的WordPress管理目录上添加密码保护。这将阻止未经授权的访问您的WordPress管理区域。

只需登录到WordPress托管控制面板（cPanel），然后单击“文件”部分下的“目录隐私”图标。

注意：我们在截图中使用的是Bluehost，但其他顶级托管公司以及SiteGround，HostGator等也可以使用类似的设置。

接下来，您需要找到wp-admin文件夹，然后单击文件夹名称。

cPanel现在将要求您提供受限文件夹的名称，用户名和密码。输入此信息后，单击保存按钮以存储您的设置。

您的WordPress管理目录现已受密码保护。当您访问WordPress管理区域时，您将看到一个新的登录提示。

如果您遇到404错误或错误太多重定向消息，则需要将以下行添加到WordPress .htaccess文件中。

ErrorDocument 401 default

有关更多详细信息，请参阅有关如何密码保护WordPress admin目录的文章。

步骤4.在WordPress中添加两因素身份验证

两要素身份验证为您的WordPress登录屏幕添加了一个额外的安全层。基本上，用户将需要手机生成一次性密码以及其登录凭据才能访问WordPress管理区域。

添加双重身份验证将使黑客更难获得访问权限，即使他们能够破解您的WordPress密码也是如此。

有关详细的分步说明，请参阅有关如何在WordPress中添加两因素身份验证的指南

步骤5.使用唯一的强密码

密码是访问您的WordPress网站的关键。您需要为所有帐户使用唯一的强密码。强密码是数字，字母和特殊字符的组合。

重要的是，您不仅要对WordPress用户帐户使用强密码，而且还要对FTP，虚拟主机控制面板和WordPress数据库使用强密码。

大多数初学者问我们如何记住所有这些唯一的密码？好吧，你不需要。有出色的密码管理器应用程序可安全存储您的密码并自动为您填写。

要了解更多信息，请参阅有关管理WordPress密码的最佳方法的初学者指南。

步骤6.禁用目录浏览

默认情况下，当您的Web服务器未找到索引文件（即诸如index.php或index.html之类的文件）时，它将自动显示一个显示目录内容的索引页。

在暴力攻击期间，黑客可以使用目录浏览来查找易受攻击的文件。要解决此问题，您需要在WordPress .htaccess文件底部添加以下行。

Options -Indexes

有关更多详细信息，请参阅有关如何在WordPress中禁用目录浏览的文章。

步骤7.禁用特定WordPress文件夹中的PHP文件执行

黑客可能希望在WordPress文件夹中安装并执行PHP脚本。WordPress主要是用PHP编写的，这意味着您不能在所有WordPress文件夹中禁用它。

但是，有些文件夹不需要任何PHP脚本。例如，您的WordPress上载文件夹位于/ wp-content / uploads。

您可以在上载文件夹中安全地禁用PHP执行，这是黑客通常用来隐藏后门文件的地方。

首先，您需要在计算机上打开一个文本编辑器（如记事本），并粘贴以下代码：

<Files *.php>deny from all</Files>

现在，将此文件另存为.htaccess并使用FTP客户端将其上传到您网站上的/ wp-content / uploads /文件夹中。

步骤8.安装和设置WordPress备份插件

备份是WordPress安全库中最重要的工具。如果所有其他方法均失败，则备份将使您轻松恢复网站。

大多数WordPress托管公司提供有限的备份选项。但是，不能保证这些备份，因此您将独自承担自己进行备份的责任。

有几个很棒的WordPress备份插件，可让您安排自动备份。

我们建议使用UpdraftPlus。它适合初学者使用，可让您快速设置自动备份并将其存储在远程位置，例如Google Drive，Dropbox，Amazon S3等。