iThemes Security Pro 功能聚焦 – 蛮力保护和禁止用户

已发表: 2021-09-22

在 Feature Spotlight 帖子中,我们重点介绍了 iThemes Security Pro 中的一项功能,并分享了我们开发该功能的原因、该功能适用​​于谁以及如何使用该功能。

今天我们将介绍 iThemes Security Pro 插件中的两个强大功能Local Brute Force ProtectionBanned Users

您需要对被禁止的用户进行暴力保护以保护您的 WordPress 网站的 3 个原因

WordPress 登录是所有 WordPress 网站中受攻击最多的部分。 WP 登录成为攻击者如此受欢迎的目标主要有以下三个原因:

  1. 每个 WordPress 站点的 WordPress 登录 URL 都是相同的。 任何有 WordPress 使用经验的人都知道 WordPress 的默认登录 URL 位于/wp-login.php页面上。 请记住,即使您使用插件来更改您保存登录表单的 URL,它也不会改变您使用命令行登录的方式。 大多数对 WordPress 登录的攻击将使用终端而不是网络浏览器。
  2. WordPress 不限制无效登录尝试的次数。 默认情况下,WordPress 没有内置任何内容来限制某人可以进行的失败登录尝试次数。 攻击者可以进行的登录尝试失败次数没有限制,他们可以不断尝试无数的用户名和密码,直到成功。
  3. 蛮力攻击不需要技巧。 蛮力攻击是指一种反复试验的方法,用于发现用户名和密码组合以入侵网站。 任何初级黑客都可以创建一个在互联网上搜索 WordPress 登录页面的机器人。 或者,您可以仅使用已创建的众多开源蛮力应用程序之一。

由于这三个原因,您需要强力保护和禁止用户保护您的 WordPress 网站的能力。

什么是蛮力保护和禁止用户?

您的 WordPress 登录很像您家的前门。 如果您的前门没有锁,任何人都可以轻松地直接走进您的家,开始四处移动您的家具、砸碎您的东西并偷走您的电视。 只有在你的前门加一把锁才能让潜在的小偷更难闯入你的家才有意义。

正如我们之前提到的,WordPress 不限制某人可以进行的无效登录尝试的次数。 这意味着机器人可以花费所有时间来猜测用户名和密码的随机组合,直到它们最终以蛮力方式进入您网站的后端。

iThemes Security Pro 插件会创建一个“锁”,您可以将其添加到您的 WordPress 登录名中。 此锁旨在防止潜在的攻击者能够直接进入您网站的后端、更改您的页面、窃取您的客户信息或控制您的网站。

iThemes Security Pro 本地/网络暴力保护禁止用户设置协同工作,以保护和保护您网站中受攻击最多的部分,即 WordPress 登录。

iThemes Security Pro 中的 2 种蛮力保护类型

iThemes Security Pro 中有两种类型的蛮力保护。 您需要为您的网站提供双重保护墙:

  • 本地蛮力保护– 本地蛮力保护着眼于访问您网站的尝试并禁止可疑用户。
  • 网络暴力保护– 网络暴力保护允许您加入社区,并且拥有超过一百万个强大的网站。 如果在 iThemes 安全社区中发现某个 IP 试图闯入网站,则该 IP 将被添加到 Network Bruce Force 禁止列表中。

1. 本地暴力保护

iThemes Security 会主动监控对您网站的无效登录尝试,以观察潜在的暴力攻击。 本地蛮力保护是第一种蛮力保护,它跟踪主机或 IP 地址和用户名进行的无效登录尝试。

一旦 IP 或用户名连续进行过多次无效登录尝试,它们将被锁定,并在设定的时间段内无法再进行任何尝试。

2.网络暴力保护

Network Brute Force Protection 更进一步。 该网络是 iThemes 安全社区,拥有超过一百万个强大的网站。 如果在 iThemes 安全社区中发现某个 IP 试图闯入网站,则该 IP 将被添加到 Network Bruce Force 禁止列表中。

一旦某个 IP 出现在 Network Brute Force 禁止列表中,该 IP 将在网络中的所有网站上被阻止。 因此,如果 IP 攻击我的网站并被禁止,它将报告给 iThemes Security Brute Force Network。 我的报告可以帮助在整个网络上禁止IP。 我喜欢我可以通过启用 iThemes 安全网络保护来帮助保护其他人的 WordPress 登录。

激活 iThemes 蛮力保护网络,加入 100 万个其他网站,联合打击攻击全球 WordPress 网站的恶意 IP。 您不仅要保护您的网站,还要帮助保护其他人的网站。

被禁止的用户如何使用蛮力保护

iThemes Security Pro 禁止用户功能会跟踪 IP 锁定。 一旦某个 IP 成为屡犯者,iThemes Security Pro 就会将该 IP 添加到禁止主机列表中,并阻止该 IP 甚至能够查看您的网站,更不用说尝试登录了。

重要的是要记住,没有办法防止在您的网站上发生攻击; 重要的是要防止这些攻击得逞。

如何在 iThemes Security Pro 中使用本地/网络暴力保护和禁止用户

首先,获取 iThemes Security Pro。 使用普通的 WordPress 插件激活方法在您的 WordPress 站点上安装并激活插件。

要开始使用本地和网络暴力保护禁止用户功能,请导航到安全设置的功能菜单并启用它们。

本地蛮力保护设置

让我们使用Local Brute Force Protection齿轮来看看设置。

  • 自动禁止“管理员”用户- 启用后,登录时使用管理员用户名的任何人都会收到自动锁定。
  • Max Login Attempts Per Host – IP 被锁定之前允许的无效登录尝试次数。
  • Max Login Attempts Per User – 这是用户名在被锁定之前允许的无效登录尝试次数。
  • 记住错误登录的分钟数- 这是无效登录尝试应计入 IP 或用户名以进行锁定的时长。

在配置锁定设置时,您需要记住几件事。 您将希望向用户提供移动无效登录尝试而不是提供 IP。 假设您的网站受到蛮力攻击并且攻击者使用您的用户名。 目标是锁定攻击者的 IP 而不是您的用户名,因此即使您的网站受到攻击,您仍然可以登录并完成工作。

您也不希望通过将无效登录尝试次数设置得太低以及将记住无效尝试的时间设置得太长而使这些设置过于严格。 如果您将主机/IP 的无效登录尝试次数降低到 1,并将记住一次错误登录尝试的分钟数设置为一个月,则会大大增加无意中锁定合法用户的可能性。

网络暴力保护设置

让我们使用Network Brute Force Protection齿轮来看看设置。

要获取您的 Brute Force Network 许可证密钥,请输入您的电子邮件地址,选择是否要接收电子邮件更新,然后单击“保存”按钮。

保存设置后,您将看到几个新选项。

  • 禁止报告的 IP - 自动禁止被网络报告为问题的 IP。
  • 重置 API 密钥– 重置 API 密钥将停用您的网络暴力破解许可证。

禁止用户设置

现在让我们使用禁止用户齿轮来查看设置。

  • 默认禁止列表- 启用后,iThemes Security 将使用 hackrepair.com 的阻止列表从您的网站禁止已知的不良行为者。
  • 限制服务器配置文件中的禁止 IP – 限制服务器配置文件(.htaccess 和 nginx.conf)阻止的 IP 数量将有助于降低更新配置文件时服务器超时的风险。
  • 禁止用户代理- 此列表中的用户代理将不被允许访问您的网站。

您可以查看禁止的主机列表,并从禁止用户卡在安全仪表板上手动将 IP 添加到禁止列表。

为什么我要限制服务器配置文件中禁用 IP 的数量?

限制服务器配置文件(.htaccess 和 nginx.conf)阻止的 IP 数量将有助于降低服务器更新这些文件时超时的风险。

每次更新文件时,服务器都会重写整个文件。 这意味着如果您有一个包含 200 个禁止 IP 的 .htaccess 文件,并且您在禁止列表中添加了一个新 IP,则服务器将不得不重写所有 201 个 IP。 如果您将任何其他服务器规则写入您的 .htaccess,这些规则将必须与 201 禁令一起重写。

.htaccess 或 nginx.conf 文件越大,更新时服务器超时的可能性就越大。 当您的网站受到攻击时尤其如此,并且您的服务器必须多次更新您的服务器配置文件以跟上所有新 IP。

如果我的服务器配置文件中禁止的 IP 多于允许的 IP,会发生什么情况?

如果禁止列表中的 IP 数量超过服务器配置文件限制,则将使用 PHP 阻止额外的 IP。

在设置服务器配置文件中限制禁止 IP选项时要记住的一件事是,在服务器级别阻止 IP 比在应用程序级别使用 PHP 阻止 IP 更有效。 但是,这两种方法的最终结果是相同的……坏人无法访问您的网站。

一个快速说明。 我不会花太多时间担心或监控您网站上发生的锁定或禁令。 iThemes Security Pro 为您自动化所有这些,因此您可以将时间花在赚钱的活动上。

立即获取 iThemes Security Pro!

默认情况下,WordPress 没有内置任何内容来限制某人可以进行的失败登录尝试次数。 攻击者可以进行的登录尝试失败次数没有限制,他们可以继续尝试无数的用户名和密码,直到成功。

iThemes Security Pro Local & Network Brute Force ProtectionBanned Users设置共同保护和保护您网站中受攻击最多的部分,即 WordPress 登录。 立即获取 iThemes Security Pro 以保护您的网站免受暴力攻击。

立即获取 iThemes Security Pro

蛮力攻击