WordPress在被攻击如何反击

WordPress网站初学的开发者往往都需要注意网站被攻击的情况，这不仅是保护用户的使用安全也是保护网站的安全性，那么在网站被黑客攻击时该怎样反击呢？  下面为大家介绍几种方法：

蛮力攻击，又称为穷举攻击（英语：Exhaustive attack）或暴力破解，是一种密码分析的方法，即将密码进行逐个推算直到找出真正的密码为止。

在现实世界中，这意味着恶意脚本会反复运行，并在WordPress登录页面中输入用户名和密码。每天可能会看到数百甚至数千次这样的尝试。

当然，如果这完全是随机的，那么使用这种技术成功登录网站将非常困难。但是，这些攻击有时可以起作用的主要原因有两个：

1.使用弱登录凭据，例如使用超级通用的用户名和密码。

2.使用以前在其他地方泄漏的凭据。

如果这两种情况中的任何一种都存在，则会增加成功攻击的几率。一旦攻击者访问了您的WordPress仪表板，他们便会造成各种破坏。

但是，即使不成功，这些攻击也可能既烦人又浪费服务器资源。因此，重要的是要制定可以帮助减轻其损害的策略。

反击的方法：

值得庆幸的是，您可以采取许多措施来更好地保护WordPress网站免受暴力攻击。最基本的做法是建立常识性安全措施，例如使用强密码和“ admin”以外的任何其他内容作为用户名。仅这些步骤就至少会使您的网站更难以破解。

1.限制访问登录页面

根据您的Web服务器的设置，您可能会考虑阻止对WordPress登录页面的访问，但特定组或IP地址范围除外。例如，在Apache服务器上，可以通过.htaccess文件完成此操作。

需要注意的是，该策略取决于管理员具有静态IP地址。在公司环境中，可能会是这种情况。但是，其他情况可能会使此方法更加困难。官方的WordPress文档还有一些进一步的建议，值得一看。

另一种方法是在服务器级别用密码保护登录页面。尽管这带来了一些不便，但确实有助于确保只有授权用户才能访问仪表板。

2.使用插件

有许多专用于安全的WordPress插件，其中一些提供的功能可以防止暴力攻击。比如：

Jetpack 的“保护 ”功能可阻止不必要的登录尝试。（国内网站不推荐用 Jetpack，因为某些资源无法在国内加载和使用）

Wordfence采用了几种特定于登录的措施，例如两因素身份验证，reCAPTCHA和暴力保护。还有一个配套插件，专门用于登录安全性。

Login LockDown是一个旨在限制暴力破解尝试的插件。在一定数量的失败登录后，它会自动锁定有问题的IP地址。#p#分页标题#e#

iThemes Security 提供了几个登录相关的保护，包括强力保护，双因素认证和重命名/wp-admin/文件夹的能力，以阻止机器人。

3.使用CDN /防火墙

内容交付网络（CDN）不仅可以提高您网站的性能，而且还具有阻止恶意机器人与WordPress之间的屏障的作用。

CDN提供程序通常包括阻止IP地址甚至整个国家访问您的站点（或至少是您的仪表板）的方法。根据您使用的服务，可能还会有专门针对阻止暴力攻击的保护措施。

这种方法的优点在于，您可以大大减轻Web服务器上的负载。怎么样？攻击者在到达您的站点之前已被CDN的防火墙阻止。这就好比在房子前面放一个巨大的苍蝇拍，在害虫进入您的前门之前将其拒之门外。

不采取任何措施来防止暴力登录是不可行的选择。这些攻击无处不在而且毫无情义。而且风景当然不会像它自己那样会变得更好。因此，应由我们采取预防措施。