蛮力攻击是什么样的?你如何减轻暴力攻击?

究竟什么是对网站的“暴力”攻击?光是“蛮力”这个名字就会让人联想到一部俗气的动作片中的坏人。对于大多数网站,暴力攻击可能非常严重。

蛮力攻击是什么样的?你如何减轻暴力攻击?-南华中天

什么是蛮力攻击?

蛮力攻击正是这个名字听起来的样子。猜测登录名或密码不涉及深层逻辑,它只是一个以“A”登录名和“A”密码开始并从那里开始工作的机器人。它会耐心地尝试所有字母和数字的组合,直到找到有效的登录名和密码。当蛮力攻击开始时,这就是它的全部。多年来,它们变得更加复杂,但从本质上讲,它只是一个机器人。

如今,您拥有执行此操作的机器人网络。问题在于,来自单台计算机的暴力攻击确实很容易检测和阻止。因此,现在由成百上千台计算机组成的网络共同攻击您的站点并猜测登录名或密码。

此外,现在我们有“字典表”,它只是已经使用过的密码或可以组合在一起构成密码的单词的列表。僵尸网络每秒可以尝试数千次来猜测登录名和密码。您的网站的安全性取决于其上最弱的密码。

除了字典表,攻击者变得更加聪明。当一个站点被黑客攻击并且所有用户信息都被拉下时,该站点的登录名和密码将被添加到要尝试的帐户中。他们知道很多人在大多数时候都懒得创建不同的登录名和密码,因此在一个网站上登录可能在另一个网站上也不错。

蛮力攻击是什么样的?你如何减轻暴力攻击?-南华中天

你如何减轻暴力攻击?

好吧,这个问题有2个答案。

如果您的网站未使用托管

如果您没有托管,那么您需要开始研究安全插件和配置防火墙。我们之前在之前的博文中讨论过其中的一些内容。您将需要:

安装应用程序防火墙并正确配置它。

存储库中有几个很好的插件,可以保护您的站点免受暴力攻击和其他类型的攻击。前 3 到 5 名都备受推崇,虽然我不会在这里推荐其中之一,但您可能会找到强烈推荐的一个并加以实施。所有好的网站都有与之相关的月费,但这就是保护您的网站所需要的。

要求所有用户使用强密码

我们之前已经讨论过密码,但值得重复。强密码是您的第一道防线。您的用户可能不喜欢它,但它会保护您的网站及其数据的安全。

蛮力攻击是什么样的?你如何减轻暴力攻击?-南华中天

所有登录都需要双因素身份验证 (2FA)

2FA 可 100% 缓解暴力攻击,因为登录名和密码仅占登录过程的 2/3。对于最后的 1/3,您必须拥有此人的电话。这是暴力攻击的终结者。

不过,与强密码一样,用户通常讨厌 2FA。您可以将 2FA 限制为管理员帐户,但如果攻击者进入您的站点,您就会受到威胁。所以你必须决定哪个更重要,这是一个糟糕的选择。

实施至少每 90 天强制使用新密码的密码轮换策略

另一个用户讨厌但可以有效帮助防止暴力攻击的策略是要求用户重置密码。这是用户讨厌的另一件事,如果您以用户讨厌的安全名义做足够多的事情,您就会开始失去用户。所以这是你必须走的钢丝。

额外提示:Fail2Ban

除了所有这些之外,我个人最喜欢的工具是Fail2ban和WP - fail2Ban。正确配置(并且需要开发人员或网络管理员才能正确配置)这种组合可以成为防止暴力攻击的非常强大的工具。它不容易配置,但功能非常强大。Fail2ban 是开源免费的,插件 WP Fail2Ban 有专业版,看起来物有所值。

蛮力攻击是什么样的?你如何减轻暴力攻击?-南华中天

我通常不推荐特定的插件,但这个是独一无二的。我在所有未托管在博客上都安装了免费版本,而且效果非常好。我正在强烈考虑升级到专业版。

警告:此插件需要在您的服务器上正确安装、配置和运行 Fail2ban。Fail2ban 本身也有一些要求。这不是一个简单的插件来开始工作。如果您不是开发人员或不熟悉 Linux,请寻求帮助。

包起来

蛮力攻击是众所周知和很好理解的。您可以安装一些工具来降低它们危害您网站的风险。话虽如此,你最好的选择是像这样的托管合作伙伴,它会为你处理它,你可以花时间让你的网站更棒。