前面我们已经说过,谁会来攻击的网站?攻击者肯定需要获取利益,无利不起早,攻击你网站的无非就是同行或者那些想通过网站攻击,勒索你获取好处的黑客(这是要在你的网站流量好的情况下!),那么作为攻击者,他们会用什么方式进行攻击你的网站呢?而我们要如何应对这防护,这里我们只能做我们所能做的最大网站安全防护,但是已经够用了!
攻击者经常使用的攻击方式和应对方案:
不管是同行还是黑客,攻击你的网站无非以下目的:
- 让你的网站无法访问,流量和客户流失
- 破坏网站排名,影响 SEO
- 消耗你的服务器资源和运维精力
1️⃣ DDoS / CC 攻击
通过大量无效请求瞬间压垮服务器资源,导致网站无法访问。这是最常见、成本最低、效果最明显的一种攻击方式。
这里我简单介绍一下DDOS攻击,攻击者调用不同的IP,伪装成为客户,来访问你的网站,就会导致你的网站一直在消耗资源,导致我们的服务器不堪重负,就会崩溃停机!那么真正有需求访问我们网站的客户,就无法打开我们的网站,给我们带来损失!更多关于DDOS攻击,可以去看下维基百科DDOS的介绍!
如何应对DDOS攻击?
使用 CDN(如 Cloudflare)隐藏真实 IP
前面我们在解析域名的时候,已经告诉大家,记得把CDN那个小云朵打开,打开那个CDN之后,攻击者就很难找到我们的服务器真实IP!同时,大家也不要把自己的服务器IP泄露给别人,随意暴露你的服务器IP地址,即使我们开了CDN也没有用!攻击者发动DDOS攻击,必须要拿到我们的真实IP
使用Wordfence限制异常访问频率
Wordfence绝对是wordpress安全防护插件第一名!我一般都是用它的免费版本,通过这个软件,你可以限制某个IP的访问频率,比如一分钟之内如果访问超过30个页面,直接把这个IP禁止了,这个IP地址就无法继续在访问你的网站了!此外,你还可以通过Wordfence屏蔽其他国家的用户,比如说不想中国地区的用户访问你的网站,你可以把中国地区给屏蔽掉!
使用高防CDN和服务器
这种方式不是很建议,这个价钱太贵了,真到了那个时候,我们直接开设一个shopify店铺就好了,shopify+wordpress结合的模式!
2️⃣ 漏洞扫描与利用
攻击者会使用工具批量扫描网站,寻找:
- WordPress 插件漏洞
- 主题漏洞
- 旧版本程序漏洞
一旦命中,就可能被:
- 跳转博彩、色情网站
- 植入后门
- 注入恶意代码
- 获取你所有的客户信息
- 恶意外链等等
如何防止黑客利用漏洞?
要防止黑客利用这些程序漏洞,bug进行攻击我们网站,我们要做到以下几点
- 保证Wordpress、插件、主题保持更新!
- 删除无用插件和主题,那些没用到的插件和主题统统删除!
- 安装wordfence插件,这个插件会发邮件提醒你,你的网站哪些插件存在问题,并修复!
3️⃣ 通过登录链接进行暴力破解
我们常见的登录页面链接一般是域名+/wp-admin,很多黑客就利用这个登录链接进行暴力登录测试!
如何应对黑客进行暴力破解?
- 使用软件修改登录链接地址,比如:Perfmatters!
- 安装Wordfence插件,如果有暴力登录的,密码输错三次,直接立马封禁这个IP
- 使用高强度的密码,不要用简单的密码!
最后一道防线:每天备份网站和数据库!
我要说一句实话,即使是白宫的官网,都能被攻破,更不要提我们这种自己搭建的网站了,所以,绝对安全的网站是不存在的!没有一个网站不会受到攻击,我们要做的是:让他们的攻击成本远远大于攻击收益!面对黑客攻击,我们不要焦虑,害怕!我做了这么多wordpress站点,没见过有把我的网站攻破的,一方面是我做了这些安全防护,另一方面,也是我的网站价值还没那么大!没必要花那么高的成本来攻击!
通过这篇文章介绍,wordpress安全这块已经够用了!(我甚至连Wordfence都没装,只需要保证你的后台登录密码是高强度的就行!)