听说过小偷尝试用不同的钥匙进入锁着的房子吗?这就是对 WordPress 网站进行暴力破解的原理。攻击者以管理员密码较弱的用户为目标,强行进入。如果你想知道自己是如何走到这一步的,让我们来为你分析一下。几个版本以前,WordPress 会为用户使用一个名为 "admin "的默认用户名。攻击者利用这些账户,通过尝试不同的密码来使用相同的用户名,从而进入任何允许他们访问的地方。
如何防止针对 WordPress 的暴力破解攻击?
- 如果您仍在使用 "admin "用户名,第一步就是更改用户名,使用更独特的用户名。这样就不会被攻击者自动列入易受攻击的类别。这也是保护自己免受攻击的最有效步骤。
- 不要使用任何弱密码!当然,"123456 "很容易记住,但也很像把家里的钥匙交给一个已知的小偷。如果您想不出什么难记的密码,可以使用密码生成器来生成不容易猜到的强密码。WordPress 还会在您尝试创建密码时显示一个参数,让您更容易了解密码的强度。
- 保持 WordPress 和计算机软件版本更新,如果使用的是 WP.com,请务必打开 "双因素验证"。如果尝试来自不同的设备/地区,这将向您发出信号。
- 如果您觉得您的管理页面变得难以登录并显得迟缓,请致电您的托管服务提供商。他们应该能为您提供正确的指导。
- 使用限制登录尝试次数的额外工具或插件。如果你的网站不需要多人登录,你甚至可以添加插件,阻止(除你之外的)任何访问 wp-admin 的尝试。
- 如果您过去曾是此类攻击的受害者,并注意到攻击来源的 IP 地址或地区的模式,您可以添加额外的保护层。具体做法是创建一个 "阻止列表",列出试图从这些地区访问网站的 IP 地址。遗憾的是,这样做也会将一些想要访问网站的真正用户拒之门外。