了解如何使用我们的多合一 WordPress 安全插件 Defender 保护您的网站免受恶意机器人的攻击，同时允许来自安全用户代理的访问。

无论是严重的 DDoS 攻击、XSS 攻击、SQL 注入还是烦人的垃圾邮件，您网站的安全都受到 24/7 的威胁。 Defender 的用户代理禁止不仅为您的 WordPress 站点提供了强大的保护，以防止来自服务器级别的不良用户代理的请求，它还有助于为您的所有良好流量释放服务器资源。

并且全部免费提供（在 wordpress.org 免费获取）。

在本文中，我们将介绍：

• 什么是用户代理？
• 好机器人与坏机器人
• 如何设置 Defender 的用户代理禁止
• 用户代理禁止配置

让我们潜入……

什么是用户代理？

让我们从维基百科的这个定义开始……

用户代理是代表用户的任何软件，它检索、呈现和促进最终用户与 Web 内容的交互。

网络服务器、电子邮件客户端、搜索引擎和 Web 浏览器都是用户代理的示例。

本质上，用户代理是一个“字符串”（即一行文本），用于向服务器标识客户端。 换句话说，这是一种说法 “你好！ 这就是我” 到网络服务器。

例如，Web 浏览器在其 HTTP 标头中包含一个 User-Agent 字段，用于向 Web 服务器标识浏览器和操作系统（例如 Windows 10 上的 Chrome 浏览器版本 94.0.4606.61）。

Web 浏览器的用户代理字符串格式如下：

Mozilla/[version] ([system and browser information]) [platform] ([platform details]) [extensions]

这允许每个 Web 浏览器拥有自己独特的用户代理，并且用户代理字段的内容可以因浏览器而异。

例如，当我查看 Web 浏览器的用户代理时，我得到以下信息：

此信息对网络服务器很有用，因为它允许网络服务器为不同的网络浏览器和不同的操作系统提供不同的网页（例如，将移动页面发送到移动网络浏览器，向不同平台或操作系统显示不同的页面，甚至显示“请升级您的浏览器”消息到旧的网络浏览器）。

好机器人与坏机器人

大多数网站所有者希望他们的内容可以在网络上找到，尤其是通过 Google 等搜索引擎。

谷歌通过使用称为“爬虫”的用户代理跟踪从一个网页到另一个网页的链接来自动发现和扫描网站。 例如，Google 的主要抓取工具称为 Googlebot。

因此，大多数网站所有者会认为 Googlebot 是一个“好机器人”，并欢迎该用户代理通过他们的网络服务器访问他们的网站。

然而，并不是所有的用户代理都是好人。

垃圾邮件发送者、抓取工具、电子邮件收集器和恶意机器人等不受欢迎的访问者也可以利用用户代理来威胁您的信息和网站的安全。

例如…

跨站脚本 (XSS) 攻击示例

可以修改用户代理名称，方法是在其中包含带有恶意 JS 代码的链接：

UserXagent:(Mozilla/5.0(!<script>alert('XSS(Example');(</script><!—

这是问题所在：

1. 服务器将信任用户代理名称并存储上述字符串（例如在 Web 分析工具中）。
2. 真实用户（例如管理员）然后访问存储字符串的工具。
3. 当带有包含字符串的日志的页面打开时，浏览器将解析所有列出的用户代理并执行脚本。 此脚本可以是简单的重定向，也可以是垃圾邮件弹出窗口。

Defender 的用户代理禁止通过在检测到此类用户代理名称时阻止页面加载来防止来自安全标头的 XSS 攻击。

SQL注入示例

这与上述类似。 用户代理名称可以包含 SQL 查询，例如，单引号 '.

如果服务器没有高级别的保护，它可能会导致错误，然后攻击者可以开始试验和执行 SQL 查询。

那么，您如何才能让好机器人进入并阻止坏机器人访问您的网站？

这就是 Defender 来救援的地方。

如何设置 Defender 的用户代理禁止

Defender 的用户代理禁止功能可让您指定允许和不允许访问您的站点的用户代理。

要访问和启用此功能，请登录您的站点并转到 Defender > Firewall

单击按钮以激活该功能...

您可以通过将这些输入到 黑名单 字段（每行一个）。 默认情况下，Defender 在阻止列表中包含一些常见的坏机器人。 您可以通过在线搜索“不良用户代理阻止列表”将更多不良机器人添加到列表中。

相反，您可以将好的机器人和用户代理添加到 许可名单 字段以允许他们永久访问您的网站。 默认情况下，Defender 在此列表中包含许多合法的机器人和用户代理。

注意：如果您向这两个字段添加相同的用户代理或机器人，则允许列表将覆盖阻止列表。

这 信息 部分可让您自定义和预览在整个锁定期间将在您的站点上显示给被阻止用户的消息。

Bot 由其 IP 地址和 HTTP 标头用户代理标识。 如果 HTTP Header User-Agent 丢失，这应该被视为异常和可疑的危险信号。 通常，这些带有 SQL 注入。 在这种情况下，最好的选择是阻止他们的 IP 地址。

您可以在 Empty Headers 部分阻止发送带有空引用者和用户代理标头的 Post 请求的任何 IP 地址。 （注意：引用者这个词没有拼错。）

笔记： 垃圾邮件机器人有时没有引用或 HTTP 标头，因此激活此选项还有助于防止垃圾邮件表单提交和评论。

最后，如果您不想再使用它，您可以随时轻松停用该功能。

请记住在完成更新插件设置后单击“保存”按钮。

要查看 Defender 活动的日志并确认该功能处于活动状态且正在运行，请在插件菜单中选择防火墙 > 日志。

用户代理禁止配置

使用 Defender，您可以获得将用户代理禁止添加到配置中的新功能，因此您可以在不受限制的站点上使用此安全功能。

一旦用户代理禁止被激活，它是一个选项，可以合并到您的配置中。

要实现这一点，只需从 设置 > 配置 在 Defender 的仪表板中。 然后，您将能够在“防火墙”部分看到禁用的用户代理处于活动状态。

现在您可以在无限制的 WordPress 站点上下载和使用此配置！

没有气味或机器人

激活 Defender 的用户代理禁止功能后，坏机器人甚至不会被嗅探，恶意用户代理每次访问您的网站时都会被攻击。 Defender 会根据您配置的锁定设置直接禁止和锁定用户代理。

此外，Defender 的持续监控保护您的站点，同时为合法流量节省服务器资源，从而帮助进一步提高您站点的性能。

有关使用此功能的更多信息或帮助，请查看我们的文档部分或联系我们的 24/7 支持团队。