防止不請自來的登入嘗試

為避免對帳號或網站的不請自來的登入嘗試，請確認你已在帳號設定強式密碼，並啟用兩步驟驗證。你也可以保護網站免於暴力破解攻擊，本指引將說明這些內容。

暴力破解攻擊是一種方法，駭客會使用此方法來攻擊 WordPress 網站程式碼弱點。駭客運用名為「殭屍網路」的大規模電腦網路，使用數千種不同的使用者名稱和密碼組合嘗試存取網站，直到找到正確組合為止。

登入 WordPress 網站的主要方式有兩種：

1. wp-login 是位於 /wp-login.php 的 WordPress 登入頁面。在 WordPress.com，你可以使用 WordPress.com 憑證安全地登入。
2. XMLRPC 是外部應用程式用來驗證並與 WordPress 互動的方法。

這兩種方法都容易受到試圖存取網站的機器人攻擊，因此 Jetpack 外掛程式可保護這兩種方法在 WordPress.com 免受暴力破解攻擊。Jetpack 在網站的使用期間，平均會封鎖 5,000 多個 WordPress 暴力破解攻擊。 

不論網站規模有多大，總有人或某些事物試圖闖入。如果成功，暴力破解攻擊會拖慢網站的回應或使其無法回應，讓駭客能夠以未經授權的方式存取網站的內容和資料。

WordPress.com 的暴力破解攻擊防護，可阻擋傳統與分散式暴力破解攻擊所造成的不請自來的登入嘗試，從網站建立的那一刻起，就能確保網站的安全。

你可以透過暴力破解攻擊防護：

• 在可疑 IP 位址到達網站前自動將其封鎖
• 將信任的 IP 列入允許清單以避免誤判
• 視需要啟用或停用此功能

Jetpack 使用數百萬個網站的資料，來偵測並阻擋威脅。例如，如果機器人無法登入某個網站，甚至在嘗試存取前便會遭其他網站封鎖。

本節指引適用於使用 WordPress.com 商用版和電子商務版方案，以及舊版專業版方案的網站。如果你有商用版方案，請務必啟用該方案。若是採用免費、個人版和進階版方案的網站，只要升級方案，即可存取此功能。

在 WordPress.com 託管的網站無法停用 Jetpack 外掛程式，因為這樣做會中斷網站的存取權，並移除其提供的基本功能。Jetpack 採用自動管理機制，我們才能繼續確保網站最終安全性和效能。 

不過，你可以停用你認為可能造成衝突的 Jetpack 特定功能。建立 WordPress.com 網站時，預設會啟用暴力破解攻擊防護。

 你可以透過下列步驟停用與重新啟用功能：

1. 前往網站的儀表板。
2. 前往「Jetpack」→「設定」。
3. 按一下「安全性」分頁。
4. 向下捲動至「暴力破解防護」區段，然後開啟或關閉該功能：

你可以將 IP 位址加入允許清單以避免將其封鎖。如果嘗試登入失敗過幾次，或 Jetpack 已標記來自目前 IP 的不尋常活動，則這項功能就很有用。

將 IP 位址新增至網站的允許清單：

1. 前往網站的儀表板。
2. 前往「Jetpack」→「設定」。
3. 按一下「安全性」分頁。
4. 向下捲動至「一律允許的 IP 位址」區段。
5. 開啟設定。
6. 新增要加入允許清單的 IP 位址 (以逗號分隔)。IPv4 和 IPv6 位址都是可接受的。若要指定範圍，請輸入最低值及最高值，並以破折號分隔。例如：12.12.12.1-12.12.12.100
7. (選用) 按一下標記為「新增至允許清單」的按鈕，即可輕鬆將目前的 IP 位址加入允許清單。