我们正在对我们的网站进行暴力攻击,我害怕禁止IP,因为他们可能会在生命周期的某个时刻轮换IP或合法用户。
我想阻止所有未知机器人访问我的网站。特别是我的/wp-login.php文件。
我花了好几个小时试图找到执行此操作的代码。我当然乐于接受建议。但是,无论如何要禁止未知的机器人但不禁止google等吗?
我在登录表单上设置了验证码,限制登录尝试失败,然后锁定36小时,然后再失败2次,锁定96小时。然而,这并没有减缓攻击速度,他们似乎有无穷无尽的知识产权可供选择。
在最常见的WP安全性之上我最终做的是锁定对wp-login.php和wp-admin文件夹的访问。 这里非常简单快捷的设置指南http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack用于wp-login.php文件 可以在任何Cpanel或plesk中轻松锁定文件夹。
答案 0 :(得分:3)
您可以使用htpasswd文件阻止访问wp-admin目录。使用this tool生成和htpasswd文件。然后在wp-admin目录中创建一个新的htaccess文件,其中包含以下内容:
<FilesMatch "wp-login.php">
AuthName "Admins Only"
AuthUserFile /directory/with/htpasswd/file/
AuthType basic
require user putyourusernamehere
<FilesMatch "wp-login.php">
答案 1 :(得分:1)
我认为您无法阻止机器人访问您的网站,因为机器人可以模仿任何合法的HTTP流量。
相反,您应该专注于阻止您网站上的错误行为。
你提到他们正试图暴力攻击你的网站。这是什么意思?它们是否会以如此多的流量充斥您的网站,这会降低您的服务器速度?如果是这样,可能会将单个IP限制为每秒一定数量的请求。例如,如果一个IP每秒向您的服务发送100个请求,则将其阻止30秒。
这个机器人试图猜测密码吗?如果是这样,请跟踪错误密码尝试并防止再次尝试五秒钟。或者,使用CAPTCHA之类的东西来减慢自动密码更改尝试或可疑登录。
许多这些策略可以通过路由器,第三方库实现,如果您使用WordPress,则WordPress plugins。
希望这有帮助!
答案 2 :(得分:1)
我在WordPress网站上使用了以下技巧:
RewriteEngine on
RewriteBase /
RewriteRule ^<root-path>/wp-login\.php.*$ <root-path>/?error=404 [L]
如果有人试图访问登录页面,它将返回“找不到页面”。当我需要自己访问登录页面时,我只是注释掉.htaccess文件中的最后一行。
.htaccess文件位于我的根网站文件夹中。
答案 3 :(得分:1)
我昨天测试了从主题森林中隐藏我的Wp,并对它的功能印象深刻。它可能就是你要找的东西。请查看:http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158