【发布时间】:2015-04-12 07:09:36
【问题描述】:
我们的网站受到暴力攻击,我害怕禁止这些 IP,因为它们可能会在生命周期的某个时间轮换 IP 或合法用户。
我想阻止所有未知机器人访问我的网站。特别是我的 /wp-login.php 文件。
我花了几个小时试图找到执行此操作的代码。我当然愿意接受建议。但是有没有禁止未知机器人但不禁止谷歌之类的?
我在我的登录表单上设置了验证码,并将登录尝试限制为 3 次失败,然后锁定 36 小时,然后再失败 2 次,锁定 96 小时。然而,这并没有减缓攻击速度,而且它们似乎有无穷无尽的 IP 池可供选择。
除了普遍加强 WP 安全性之外,我最终做的是锁定对 wp-login.php 和 wp-admin 文件夹的访问。 非常简单快捷的设置指南http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack 用于 wp-login.php 文件 锁定文件夹可以在任何 Cpanel 或 plesk 中轻松完成。
【问题讨论】:
-
根据您的标签,我看到您正在考虑使用 .htaccess 和/或 robots.txt,它们都无法阻止恶意机器人,因为这些机器人只会忽略机器人文件,并且很可能会假装成为常规浏览器(UA 欺骗)。
-
我认为第一个目标是弄清楚它们与正常流量的区别。如果不能,您可能只需将单个 IP 限制为每秒一定数量的请求。
-
因为这似乎是一个 Wordpress 网站,所以有很多很棒的安全插件可以提供帮助。我在 Better Wordpress Security(现在称为 iThemes)方面取得了很好的成功。许多工具可以限制来自某些 IP 的流量等。wordpress.org/plugins/better-wp-security 上的信息
标签: html .htaccess robots.txt