防范恶意登录尝试

为防范针对您账户或站点的恶意登录尝试，请确保您已设置安全程度高的密码并启用两步验证。您还可以保护站点免受暴力破解攻击，本指南将对此进行说明。

暴力破解攻击是黑客利用 WordPress 网站代码漏洞的一种方式。黑客会利用被称为僵尸网络的大型计算机网络，尝试通过数千种不同的用户名和密码组合来访问您的站点，直到找到正确的用户名和密码。

登录 WordPress 网站主要有两种方式：

1. wp-login 是位于 /wp-login.php 的 WordPress 登录页面。在 WordPress.com 上，您可以在此使用您的 WordPress.com 凭据安全登录。
2. XMLRPC 是外部应用程序用于验证身份并与 WordPress 进行交互的方法。

这两种方式都容易受到试图访问网站的机器人攻击，因此我们的 Jetpack 插件会在 WordPress.com 上为这两种方式提供暴力破解攻击防护。平均而言，Jetpack 在一个站点的生命周期内可阻止超过 5000 次针对 WordPress 的暴力破解攻击。 

无论您的站点规模如何，总会有人或其他东西试图闯入。如果成功，暴力破解攻击可能导致您的站点响应速度变慢甚至完全停止响应，并让黑客得以未经授权访问您站点的内容和数据。

WordPress.com 上的暴力破解攻击防护可阻止来自传统和分布式暴力破解登录攻击的恶意登录尝试，从创建之初便守护您的站点安全。

得益于暴力破解攻击防护，您可以：

• 在可疑 IP 地址访问您的站点之前自动将其拦截
• 将受信任的 IP 列入白名单以避免误报
• 根据需要启用或禁用该功能

Jetpack 使用数百万个站点的数据来检测并阻止威胁。例如，如果某个机器人无法登录某一站点，它甚至在尝试访问其他站点之前就会被拦截。

本指南的此部分适用于使用 WordPress.com 商务版和电商版套餐以及旧版专业版套餐的站点。如果您有商务版套餐，请确保将其激活。对于使用免费套餐、个人版套餐和高级版套餐的站点，请升级您的套餐以使用此功能。

在 WordPress.com 上托管的站点无法禁用 Jetpack 插件，因为此操作将会中断您对站点的访问，并移除该插件提供的基本功能。Jetpack 采用自动管理模式，因此我们能持续确保您站点的最终安全性和性能。 

不过，您可以禁用 Jetpack 中您认为可能引发冲突的特定功能。在您创建 WordPress.com 网站时，暴力破解攻击防护会默认启用。

您可以通过以下步骤禁用并重新启用该功能：

1. 访问您站点的仪表盘。
2. 导航至“Jetpack → 设置”。
3. 点击“安全”选项卡。
4. 向下滚动到“暴力破解攻击防护”部分，开启或关闭该功能：

您可以将 IP 地址列入允许列表，以防其被阻止。如果您多次尝试登录失败，或者 Jetpack 检测到您当前的 IP 地址存在异常活动，则此功能非常有用。

要将 IP 地址添加到您站点的允许列表，请执行以下步骤：

1. 访问您站点的仪表盘。
2. 导航至“Jetpack → 设置”。
3. 点击“安全”选项卡。
4. 向下滚动到“始终允许的 IP 地址”部分。
5. 关闭此设置。
6. 添加您希望列入白名单的 IP 地址（以逗号分隔）。IPv4 和 IPv6 地址均可接受。如要指定范围，请输入最小值和最大值，并用破折号隔开。示例：12.12.12.1-12.12.12.100
7. （可选）点击标有“添加到允许列表”的按钮，轻松将您当前的 IP 地址列入白名单。