我们的网站正在受到暴力攻击,我害怕禁止IP,因为它们可能在其生命周期的某个时间点轮换IP或合法用户。
我想阻止所有未知的机器人访问我的网站。特别是我的/wp-login.php文件
我花了几个小时试图找到这样做的代码。我当然愿意听取建议。但是有没有办法禁止未知的机器人,而不是禁止谷歌之类的?
我有验证码设置在我的登录表单和限制登录尝试3失败,然后锁定36小时,然后2个以上的失败和锁定96小时。然而,这并没有减缓攻击,他们似乎有一个无穷无尽的IP池可供选择。
我最后做的是在普遍加强WP安全的基础上锁定对WP -login.php和WP -admin文件夹的访问。非常简单和快速的设置指南这里http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack为wp-login.php文件
可以使用htpasswd文件阻止对wp-admin目录的访问。使用此工具生成和htpasswd文件。然后在wp-admin目录下创建一个新的htaccess文件,其内容如下:
<FilesMatch "wp-login.php">
AuthName "Admins Only"
AuthUserFile /directory/with/htpasswd/file/
AuthType basic
require user putyourusernamehere
<FilesMatch "wp-login.php">
我不认为你可以阻止僵尸程序访问你的网站,因为僵尸程序可以模仿任何合法的HTTP流量。
相反,你应该专注于阻止不良行为在你的网站。
你提到他们试图暴力攻击你的网站。这是什么意思?他们是否给你的网站带来了大量的流量,从而减慢了你的服务器速度?如果是这样,也许可以将单个IP限制为每秒一定数量的请求。例如,如果一个IP每秒向您的服务发送100个请求,则阻塞它们30秒。
这个机器人正在尝试猜密码吗?如果是这样,请跟踪错误的密码尝试,并在五秒钟内防止再次尝试。或者,使用captcha之类的东西来减缓自动更改密码的尝试,或可疑的登录。
这些策略可以通过路由器,第三方库,如果你使用WordPress, WordPress插件实现。
希望这对你有帮助!
我在我的WordPress网站上使用了以下技巧:
RewriteEngine on
RewriteBase /
RewriteRule ^<root-path>/wp-login.php.*$ <root-path>/?error=404 [L]
如果有人试图访问登录页面,它将返回"Page not Found"。当我需要自己访问登录页面时,我只需注释掉.htaccess文件中的最后一行。
.htaccess文件位于我的根web文件夹中。
我昨天测试了Hide My Wp from Theme Forest,它的功能给我留下了非常深刻的印象。这可能就是你要找的。查看链接:http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158