蠻力攻擊是什么樣的?你如何減輕暴力攻擊?
      
                                    
                                
      
                                
      
                                    
      究竟什么是對網(wǎng)站的“暴力”攻擊?光是“蠻力”這個(gè)名字就會(huì)讓人聯(lián)想到一部俗氣的動(dòng)作片中的壞人。對于大多數(shù)網(wǎng)站,暴力攻擊可能非常嚴(yán)重。
      

      蠻力攻擊是什么樣的?你如何減輕暴力攻擊?-南華中天
      

      什么是蠻力攻擊?
      

      蠻力攻擊正是這個(gè)名字聽起來的樣子。猜測登錄名或密碼不涉及深層邏輯,它只是一個(gè)以“A”登錄名和“A”密碼開始并從那里開始工作的機(jī)器人。它會(huì)耐心地嘗試所有字母和數(shù)字的組合,直到找到有效的登錄名和密碼。當(dāng)蠻力攻擊開始時(shí),這就是它的全部。多年來,它們變得更加復(fù)雜,但從本質(zhì)上講,它只是一個(gè)機(jī)器人。
      

      如今,您擁有執(zhí)行此操作的機(jī)器人網(wǎng)絡(luò)。問題在于,來自單臺計(jì)算機(jī)的暴力攻擊確實(shí)很容易檢測和阻止。因此,現(xiàn)在由成百上千臺計(jì)算機(jī)組成的網(wǎng)絡(luò)共同攻擊您的站點(diǎn)并猜測登錄名或密碼。
      

      此外,現(xiàn)在我們有“字典表”,它只是已經(jīng)使用過的密碼或可以組合在一起構(gòu)成密碼的單詞的列表。僵尸網(wǎng)絡(luò)每秒可以嘗試數(shù)千次來猜測登錄名和密碼。您的網(wǎng)站的安全性取決于其上最弱的密碼。
      

      除了字典表,攻擊者變得更加聰明。當(dāng)一個(gè)站點(diǎn)被黑客攻擊并且所有用戶信息都被拉下時(shí),該站點(diǎn)的登錄名和密碼將被添加到要嘗試的帳戶中。他們知道很多人在大多數(shù)時(shí)候都懶得創(chuàng)建不同的登錄名和密碼,因此在一個(gè)網(wǎng)站上登錄可能在另一個(gè)網(wǎng)站上也不錯(cuò)。
      

      蠻力攻擊是什么樣的?你如何減輕暴力攻擊?-南華中天
      

      你如何減輕暴力攻擊?
      

      好吧,這個(gè)問題有2個(gè)答案。
      

      如果您的網(wǎng)站未使用托管
      

      如果您沒有托管,那么您需要開始研究安全插件和配置防火墻。我們之前在之前的博文中討論過其中的一些內(nèi)容。您將需要:
      

      安裝應(yīng)用程序防火墻并正確配置它。
      

      存儲(chǔ)庫中有幾個(gè)很好的插件,可以保護(hù)您的站點(diǎn)免受暴力攻擊和其他類型的攻擊。前 3 到 5 名都備受推崇,雖然我不會(huì)在這里推薦其中之一,但您可能會(huì)找到強(qiáng)烈推薦的一個(gè)并加以實(shí)施。所有好的網(wǎng)站都有與之相關(guān)的月費(fèi),但這就是保護(hù)您的網(wǎng)站所需要的。
      

      要求所有用戶使用強(qiáng)密碼
      

      我們之前已經(jīng)討論過密碼,但值得重復(fù)。強(qiáng)密碼是您的第一道防線。您的用戶可能不喜歡它,但它會(huì)保護(hù)您的網(wǎng)站及其數(shù)據(jù)的安全。
      

      蠻力攻擊是什么樣的?你如何減輕暴力攻擊?-南華中天
      

      所有登錄都需要雙因素身份驗(yàn)證 (2FA)
      

      2FA 可 100% 緩解暴力攻擊,因?yàn)榈卿浢兔艽a僅占登錄過程的 2/3。對于最后的 1/3,您必須擁有此人的電話。這是暴力攻擊的終結(jié)者。
      

      不過,與強(qiáng)密碼一樣,用戶通常討厭 2FA。您可以將 2FA 限制為管理員帳戶,但如果攻擊者進(jìn)入您的站點(diǎn),您就會(huì)受到威脅。所以你必須決定哪個(gè)更重要,這是一個(gè)糟糕的選擇。
      

      實(shí)施至少每 90 天強(qiáng)制使用新密碼的密碼輪換策略
      

      另一個(gè)用戶討厭但可以有效幫助防止暴力攻擊的策略是要求用戶重置密碼。這是用戶討厭的另一件事,如果您以用戶討厭的安全名義做足夠多的事情,您就會(huì)開始失去用戶。所以這是你必須走的鋼絲。
      

      額外提示:Fail2Ban
      

      除了所有這些之外,我個(gè)人最喜歡的工具是Fail2ban和WP - fail2Ban。正確配置(并且需要開發(fā)人員或網(wǎng)絡(luò)管理員才能正確配置)這種組合可以成為防止暴力攻擊的非常強(qiáng)大的工具。它不容易配置,但功能非常強(qiáng)大。Fail2ban 是開源免費(fèi)的,插件 WP Fail2Ban 有專業(yè)版,看起來物有所值。
      

      蠻力攻擊是什么樣的?你如何減輕暴力攻擊?-南華中天
      

      我通常不推薦特定的插件,但這個(gè)是獨(dú)一無二的。我在所有未托管在博客上都安裝了免費(fèi)版本,而且效果非常好。我正在強(qiáng)烈考慮升級到專業(yè)版。
      

      警告:此插件需要在您的服務(wù)器上正確安裝、配置和運(yùn)行 Fail2ban。Fail2ban 本身也有一些要求。這不是一個(gè)簡單的插件來開始工作。如果您不是開發(fā)人員或不熟悉 Linux,請尋求幫助。
      

      包起來
      

      蠻力攻擊是眾所周知和很好理解的。您可以安裝一些工具來降低它們危害您網(wǎng)站的風(fēng)險(xiǎn)。話雖如此,你最好的選擇是像這樣的托管合作伙伴,它會(huì)為你處理它,你可以花時(shí)間讓你的網(wǎng)站更棒。