我们的网站受到暴力攻击,我担心禁止 IP,因为它们可能会在生命周期的某个时刻轮换 IP 或合法用户。
我想阻止所有未知的机器人访问我的网站。特别是我的/wp-login.php 文件。
我花了几个小时试图找到执行此操作的代码。我当然愿意接受建议。但是有没有禁止未知机器人但不禁止谷歌之类的东西呢?
我在我的登录表单上设置了验证码,并将登录尝试限制为 3 次失败然后锁定 36 小时,然后再失败 2 次并锁定 96 小时。然而,这并没有减缓攻击速度,而且他们似乎有无穷无尽的 IP 池可供选择。
除了普遍加强 WP 安全性之外,我最终做的是锁定对 wp-login.php 和 wp-admin 文件夹的访问。 这里有非常简单快捷的设置指南 http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack对于 wp-login.php 文件 可以在任何 Cpanel 或 plesk 中轻松锁定文件夹。
最佳答案
您可以使用 htpasswd 文件阻止对 wp-admin 目录的访问。使用 this tool 生成 htpasswd 文件.然后使用以下内容在 wp-admin 目录中创建一个新的 htaccess 文件:
<FilesMatch "wp-login.php">
AuthName "Admins Only"
AuthUserFile /directory/with/htpasswd/file/
AuthType basic
require user putyourusernamehere
<FilesMatch "wp-login.php">
关于html - 如何阻止未知机器人访问我的网站?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24814138/