河西建设网站：如何保护WordPress网站免受布鲁特部队的攻击

河西建设网站每一个曾经安装WordPress的人都有遭受暴力攻击的危险。事实上，暴力攻击正在上升而且他们很可能只会变得更糟。这对你意味着什么？你必须停止使用WordPress，转而使用其中之一吗？其他CMS选项？天哪，不！这意味着你需要一个安全计划来保护你的WordPress网站。有了一些预防措施，你的仪表板将是一个真正的堡垒，甚至超人也无法强行进入。

反对布鲁特部队袭击的官方建议

由于暴力攻击很常见，WordPress代码只有这样才有意义。供您遵循的建议和最佳做法。我们强烈建议你让自己熟悉这份清单，并考虑到他们为你自己的保护。它们既提供基于用户的保护，也为您的服务器提供选项。这是非常值得你的时间来阅读它的所有。

你能做什么

你可以做很多事情来建立一个安全的WordPress网站。有一些插件可以保护你，而且你可以创造一些好的习惯来确保即使你是暴力攻击的目标，你也是安全的。

不要使用‘Admin’作为用户名

这是不言而喻的，但无论如何也必须这样说。不要使用‘admin’作为用户名。这是很容易做到的，这曾经是相当普遍的做法。现在不是了。因此，在安装WP时，使用几乎所有其他名称(在您的域名或网站标题之外)作为您的管理用户。

如果你有管理作为你网站上的用户，改变这个。这对什么并不重要，但你需要改变它。不管编辑用户部分怎么说，您都可以更改用户名。您可以使用插件或者你可以编辑WordPress数据库(这比你想象的要容易得多)。

使用强密码

我觉得这个已经足够了，所以我不会再逗留了。不要用密码作为你的密码密码123如果有此选项，请使用“生成随机密码”按钮。安装强制强密码插件，所以为你的网站注册的每个人都是安全的，而不仅仅是你。因为即使你，你们遵循最佳实践，并不意味着每个人都会这样做。

我们还建议单独密码库喜欢LastPass或1通以跟上随机性。

使用插件将您的登录移至/wp-admin。

您可以通过多种方式更改URL，但与WordPress中的几乎所有内容一样，它可以归结为使用插件或手动编辑代码。

默认情况下，我们都登录到WordPress/wp-管理。当涉及到暴力攻击时，这是他们的第一次攻击。但是，如果没有门，他们就不能强行进门，对吧？通过将登录URL移除/wp-管理你实际上是在躲避攻击者。这就是你的WP恐慌室。

两个更好的插件是登录器和WPS隐藏登录。而Loginizer有一个罗得WPS隐藏登录不仅仅是简单地移动这个URL，它做了一件事情，而且做得很好。这一切都取决于你的设置，哪一个更好。您也可以查看我们的笔迹还有其他选择。

此外，使用它可能不是一个好主意/登录或/管理或者任何类似的东西。想一想你的网站可能是独一无二的，或者类似的事情。/雇员或/工作人员。虽然这些都是常用词，但蛮力机器人不太可能被编程来攻击它们。

手动将登录从/wp-admin移开

如果你是那种喜欢插件使用最小化，您也可以手动更改URL。有点复杂，但没那么复杂。我们在这里为你打破这个过程。您需要轻松地编辑PHP文件，例如WP-config.php你的.htaccess档案。

实现这一点也有多种方法，正如您在下面的文章中所看到的堆栈溢出线程，还有这个WordPress.org帖子.

使用双因素身份验证

双因素认证(2FA)现在对于真正安全的在线体验来说几乎是必要的。基本上，2FA可以通过输入唯一的代码或单击发送给您和您自己的唯一链接来验证它是否正在登录。也许是通过电子邮件，短信，甚至是通过钥匙链。第二个因素(用户名/密码是第一个)验证您的身份。

幸运的是WordPress并不需要2FA插件，而且你有一些非常棒的选择。两个最大的安全插件已经发布了身份验证插件，这两个都是强烈推荐的。如果你是一个优秀的WordFence用户，你可以通过插件进行身份验证(2FA是设置中的一个选项卡)。UpdraftPlus有两个登录插件：密钥，无密码认证器(就像Clef，如果您曾经使用过)和适当的命名双因素认证。此外，登录插件我上面提到的还提供了2FA通过应用程序，如Authy和谷歌认证(为优质用户)。

限制登录尝试

暴力攻击之所以对WordPress如此有效，是因为默认情况下登录尝试是无限的。你永远不会因为输入错误的密码而被锁在门外。这就是为什么蛮力是一种有效的途径-如果他们的头撞你的墙足够多，他们最终会在你的墙上打一个洞。通过限制任何人尝试登录的次数，您可以有效地避免攻击的主要影响。不是整件事，但你尽量减少你的网站被破坏的机会被恶意软件感染.

河西建设网站最受欢迎的插件是限制登录尝试，您也可以通过词Fence或登录器。或者任何其他安全插件。这些装置很容易安装，没有理由不激活它。

删除未使用的WordPress安装

我是有罪的。你是有罪的。几乎所有地方的人都对此感到内疚。我们在服务器上安装了WordPress，只是为了玩玩、测试插件或其他一些模糊的一次性目标，然后就再也不碰那个站点了。也许它位于主域的一个非常奇怪、模糊的子域(例如，1 kdnvrNK033r2mk.yourdomain.com)。重点是它还在那里。即使你不使用它，它也是一个实时的WordPress网站。

凶猛的袭击者正在追捕这些人。通常情况下，它们缺少安全插件，密码不强，用户名也没有从默认情况下更改。虽然他们没有任何真实的信息，但他们允许黑客访问你的主机和服务器。这可是个坏兆头。

因此，当您需要一个测试站点时，要么在后面删除它，要么使用地方发展环境。否则，你就像是在背上画了个靶子。

安全插件

考虑到所有这些，您还应该运行一个整体WordPress安全插件。这些将包括许多不同的事情取决于插件本身，但通常，你会得到恶意软件扫描，登录保护，2FA，web应用程序防火墙，文件修复，备份，垃圾邮件过滤器，IP白名单和黑名单，等等。我们可以获得一些真正令人惊奇的免费选择(这对大多数人来说是足够好的)，以及一些完全令人吃惊的优质产品。

· 登录器

· MalCare安全

· 苏库里(我们详细概述(苏库里)

· 词Fence(我们详细概述(华语)

· iThemes安全

· 喷气背包(或瓦尔特出版社)

· 全合一WP安全和防火墙

虽然最终的安装决定取决于您，但您必须安装一个安全插件。每个人都有自己喜欢的，最终，重要的不是你安装了哪一个，而是你已经安装了一个。

在外面安全

河西建设网站随着暴力攻击的兴起，以及互联网上普遍存在的不礼貌行为，老实说，你不可能足够小心。上面列出的任何插件如果与上述最佳实践相结合，都可以保护您免受黑客和僵尸网络的攻击(以及额外的在法典中列出)。让你的头靠在肩膀上，睁大眼睛，密码强大，那些野蛮的攻击甚至都无法削弱你网站的盔甲。

你用什么来保护你的WordPress网站免受日益增长的暴力攻击的威胁？