究竟什么是對網站的“暴力”攻擊?光是“蠻力”這個名字就會讓人聯想到一部俗氣的動作片中的壞人。對于大多數網站,暴力攻擊可能非常嚴重。
什么是蠻力攻擊?
蠻力攻擊正是這個名字聽起來的樣子。猜測登錄名或密碼不涉及深層邏輯,它只是一個以“A”登錄名和“A”密碼開始并從那里開始工作的機器人。它會耐心地嘗試所有字母和數字的組合,直到找到有效的登錄名和密碼。當蠻力攻擊開始時,這就是它的全部。多年來,它們變得更加復雜,但從本質上講,它只是一個機器人。
如今,您擁有執行此操作的機器人網絡。問題在于,來自單臺計算機的暴力攻擊確實很容易檢測和阻止。因此,現在由成百上千臺計算機組成的網絡共同攻擊您的站點并猜測登錄名或密碼。
此外,現在我們有“字典表”,它只是已經使用過的密碼或可以組合在一起構成密碼的單詞的列表。僵尸網絡每秒可以嘗試數千次來猜測登錄名和密碼。您的網站的安全性取決于其上最弱的密碼。
除了字典表,攻擊者變得更加聰明。當一個站點被黑客攻擊并且所有用戶信息都被拉下時,該站點的登錄名和密碼將被添加到要嘗試的帳戶中。他們知道很多人在大多數時候都懶得創建不同的登錄名和密碼,因此在一個網站上登錄可能在另一個網站上也不錯。
你如何減輕暴力攻擊?
好吧,這個問題有2個答案。
如果您的網站未使用托管
如果您沒有托管,那么您需要開始研究安全插件和配置防火墻。我們之前在之前的博文中討論過其中的一些內容。您將需要:
安裝應用程序防火墻并正確配置它。
存儲庫中有幾個很好的插件,可以保護您的站點免受暴力攻擊和其他類型的攻擊。前 3 到 5 名都備受推崇,雖然我不會在這里推薦其中之一,但您可能會找到強烈推薦的一個并加以實施。所有好的網站都有與之相關的月費,但這就是保護您的網站所需要的。
要求所有用戶使用強密碼
我們之前已經討論過密碼,但值得重復。強密碼是您的第一道防線。您的用戶可能不喜歡它,但它會保護您的網站及其數據的安全。
所有登錄都需要雙因素身份驗證 (2FA)
2FA 可 100% 緩解暴力攻擊,因為登錄名和密碼僅占登錄過程的 2/3。對于最后的 1/3,您必須擁有此人的電話。這是暴力攻擊的終結者。
不過,與強密碼一樣,用戶通常討厭 2FA。您可以將 2FA 限制為管理員帳戶,但如果攻擊者進入您的站點,您就會受到威脅。所以你必須決定哪個更重要,這是一個糟糕的選擇。
實施至少每 90 天強制使用新密碼的密碼輪換策略
另一個用戶討厭但可以有效幫助防止暴力攻擊的策略是要求用戶重置密碼。這是用戶討厭的另一件事,如果您以用戶討厭的安全名義做足夠多的事情,您就會開始失去用戶。所以這是你必須走的鋼絲。
額外提示:Fail2Ban
除了所有這些之外,我個人最喜歡的工具是Fail2ban和WP - fail2Ban。正確配置(并且需要開發人員或網絡管理員才能正確配置)這種組合可以成為防止暴力攻擊的非常強大的工具。它不容易配置,但功能非常強大。Fail2ban 是開源免費的,插件 WP Fail2Ban 有專業版,看起來物有所值。
我通常不推薦特定的插件,但這個是獨一無二的。我在所有未托管在博客上都安裝了免費版本,而且效果非常好。我正在強烈考慮升級到專業版。
警告:此插件需要在您的服務器上正確安裝、配置和運行 Fail2ban。Fail2ban 本身也有一些要求。這不是一個簡單的插件來開始工作。如果您不是開發人員或不熟悉 Linux,請尋求幫助。
包起來
蠻力攻擊是眾所周知和很好理解的。您可以安裝一些工具來降低它們危害您網站的風險。話雖如此,你最好的選擇是像這樣的托管合作伙伴,它會為你處理它,你可以花時間讓你的網站更棒。
