如果你的网站的安全受到24/7的威胁，无论是来自严重的DDoS攻击、XSS攻击、SQL注入，还是恼人的垃圾邮件。Defender的用户代理禁令不仅为您的WordPress网站提供强有力的保护，使其免受来自服务器层面的不良用户代理的请求，它还有助于释放服务器资源，用于所有良好的流量。这里搬主题就介绍用Defender的用户代理禁令免费保护你的WordPress网站不受坏机器人的影响。

这里可以获得免费插件(免费插件).

获得直接在本站获取Defender Pro汉化插件最新版下载

前往下载本插件最新版本

一、什么是用户代理

让我们从维基百科的这个定义开始…

用户代理是代表用户行事的任何软件，它检索、渲染和促进最终用户与网络内容的互动。网络服务器、电子邮件客户端、搜索引擎和网络浏览器都是用户代理的例子。

从本质上讲，用户代理是一个 “字符串”（即一行文字），用于识别客户端和服务器。换句话说，它是一种对服务器说 “你好! 这是我是谁 “的一种方式给网络服务器。

例如，网络浏览器在其HTTP头中包括一个User-Agent字段，向网络服务器识别浏览器和操作系统（例如，Windows 10上的Chrome浏览器版本94.0.4606.61）。

网络浏览器的用户代理字符串格式如下。

Mozilla/[version] ([system and browser information]) [platform] ([platform details]) [extensions]

这使得每个网络浏览器都有自己的、独特的用户代理，用户代理字段的内容可以因浏览器而异。

例如，当我查询我的网络浏览器的用户代理时，我得到了以下结果。

这些信息对网络服务器很有用，因为它允许网络服务器向不同的网络浏览器和不同的操作系统提供不同的网页（例如，向移动网络浏览器发送移动网页，向不同的平台或操作系统显示不同的网页，甚至向旧的网络浏览器显示 “请升级您的浏览器 “信息）。

二、好的机器人与坏的机器人

大多数网站所有者希望他们的内容能在网上被发现，特别是被谷歌这样的搜索引擎发现。谷歌通过使用称为 “爬虫 “的用户代理从一个网页到另一个网页的链接，自动发现和扫描网站。例如，谷歌的主要爬虫被称为Googlebot。

因此，大多数网站所有者会认为Googlebot是一个 “好机器人”，并欢迎这个用户代理通过他们的网络服务器访问他们的网站。

然而，并非所有的用户代理都是好人。

不需要的访问者，如垃圾邮件发送者、破解者、电子邮件收割者和恶意机器人，也可以利用用户代理来威胁你的信息和网站的安全。

例如…

1、跨站脚本（XSS）攻击实例

一个用户代理名称可以被修改，因为它有一个带有恶意JS代码的链接。

UserXagent:(Mozilla/5.0(!<script>alert('XSS(Example');(</script><!—

问题是这样的：

1. 一个服务器将信任用户代理名称并存储上述字符串（例如，在一个网络分析工具中）。
2. 然后，一个真正的用户（例如一个管理员）访问存储该字符串的工具。
3. 当含有该字符串的日志页面被打开时，浏览器就会解析所有列出的用户代理并执行脚本。这个脚本可以是一个简单的重定向，也可以是一个垃圾邮件的弹出窗口。

Defender的用户代理禁止功能可以防止安全头的XSS攻击，当检测到这样的用户代理名称时，就会停止页面加载。

2、SQL注入的例子

这与上述情况类似。一个用户代理名称可以包含一个SQL查询，例如，一个单引号'。

如果服务器没有高水平的保护，就会导致错误，这时攻击者就可以开始实验和执行SQL查询。那么，如何才能让好的机器人进来，并防止坏的机器人访问你的网站呢？

这就是Defender发挥作用的地方。

三、如何设置Defender的用户代理禁令

通过Defender的用户代理禁止功能，您可以指定允许和不允许哪些用户代理访问您的网站。要访问和启用该功能，请登录您的网站，进入 “防御”>”防火墙”。

点击按钮来激活该功能…

你可以通过在 “封锁名单 “字段中输入恶意机器人和不良用户代理（每行一个），永久禁止它们访问你的网站。Defender在默认情况下将一些常见的坏机器人列入封杀名单。你可以通过在网上搜索 “不良用户代理拦截列表”，将更多的不良机器人添加到该列表中。

相反，你可以把好的机器人和用户代理添加到Allowlist字段中，允许他们永久访问你的网站。Defender默认将一些合法的机器人和用户代理列入该列表。

注意：如果您在两个字段中添加相同的用户代理或机器人，”允许列表 “将覆盖 “封锁列表”。信息 “部分可以让您自定义和预览在整个封锁期间在您的网站上显示给被封锁用户的信息。

机器人是通过其IP地址和HTTP头用户代理来识别的。如果HTTP头用户代理丢失，这应该被视为一个不寻常的和可疑的红色标志。 通常情况下，这些都是带有SQL注入的。在这种情况下，最好的选择是阻止他们的IP地址。你可以在 Empty Headers阻止任何发送带有空参考者和用户代理头文件的Post请求的IP地址。(注意：referer这个词没有拼错。)

注意：垃圾邮件机器人有时没有推荐人或HTTP头，所以激活这个选项也将有助于防止垃圾邮件的表单提交和评论。最后，如果你不再想使用该功能，你可以在任何时候轻松地停用它。

记得完成后点击保存按钮，以更新你的插件设置。要查看Defender的活动日志，并确认该功能处于激活和工作状态，请在插件的菜单中选择防火墙>日志。

四、没有Whiffs及Bots

激活了Defender的用户代理禁止功能后，坏的机器人甚至无法嗅到，而恶意的用户代理每次访问你的WordPress网站时都会被打击。Defender会根据您配置的锁定设置，直接禁止和锁定用户代理。

此外，Defender的持续监控在保护你的网站的同时，也为合法流量节省了服务器资源，从而有助于进一步提高你网站的性能。