如果有陌生人一次又一次地敲你的前门,你可能会把门闩上。或者再加三道锁。您的网上家园也应该得到同样的保护。
黑客可能会使用蛮力攻击来尝试猜测您的管理员密码。如果您限制他们可以尝试登录的次数,那么您会大大降低他们成功的机会。
在本教程中,我们将说明为何应限制WordPress网站登录尝试次数及如何使用 Limit Login Attempts Reloaded 插件限制用户登录次数,此外还列出一些可替代的安全插件方案。
为什么要限制WordPress登录尝试次数?
蛮力攻击是一种使用反复试验来入侵您的WordPress网站的方法。
最常见的蛮力攻击类型是密码猜测。黑客使用自动化软件不断猜测您的登录信息,以便他们可以访问您的网站。
默认情况下,WordPress允许用户根据需要多次输入密码。黑客可能会尝试通过使用输入不同组合的脚本来利用此漏洞,直到他们猜到正确的登录名。
您可以通过限制每个用户的失败登录尝试次数来防止暴力攻击。例如,您可以在5次登录尝试失败后暂时锁定用户。
限制登录尝试的潜在弊端
值得注意的是,限制登录尝试可能会带来一些麻烦。例如,真正的用户可能会发现,如果他们打错了几个字或忘记了密码,就会被锁定。这可能会让双方都很沮丧。
另一个潜在问题是,限制登录可能会让你更容易受到拒绝服务(DoS)攻击。恶意黑客可能会故意让多个 IP 地址的登录限制超载,从而有效地锁定所有用户,包括你自己。很可怕,不是吗?
在极少数情况下,登录限制可能会导致性能问题。这种情况通常发生在锁定设置过于激进,或者您的网站流量很大,因此您的网站服务器必须努力跟踪和阻止成千上万个 IP 地址。
不幸的是,一些用户在多次错误地输入密码后发现自己被锁定在自己的WordPress网站之外。如果您发现自己处于这种情况,那么您应该按照我们指南中有关如何取消WordPress限制登录尝试的步骤进行操作。
话虽如此,让我们来看看如何限制您的WordPress网站上的登录尝试。
Limit Login Attempts Reloaded 插件简述
Limit Login Attempts Reloaded 是最流行的 WordPress 插件,用于限制任何人尝试登录网站的次数。它是如何工作的?通过跟踪来自每个 IP 地址的登录尝试次数。
基本插件是免费的,可有效防止暴力攻击,即黑客试图猜测您的密码。
免费版还提供
- 尝试登录的完整日志。
- 电子邮件通知。
- 保护 WooCommerce 商店。
- 与 Wordfence 等其他安全插件兼容。
要获得更多网站安全功能,您可以付费购买高级许可证。每个域名的许可证费用为每月 7.99 美元,或者终身许可证费用为 299.99 美元。
这些额外功能包括
- 智能 IP 地址过滤。
- 根据位置阻止 IP 地址。
如何使用插件限制WordPress登录尝试次数
这就是理论的全部内容。现在,是时候采取一些行动了。
设置限制登录尝试重装插件非常简单。这也是它如此受欢迎的部分原因。
不过,万一你发现自己有点卡住了,这里有一个快速操作步骤:
第 1 步:安装Limit Login Attempts Reloaded
前往 WordPress 网站的仪表板,然后选择插件 > 添加新插件。
接下来,在右上角的搜索栏中输入 Limit Login Attempts Reloaded,然后点击 Enter。你想要的插件应该会出现在第一个结果中。
找到插件后,选择立即安装。
插件安装完成后,点击启用。请与我们保持联系–您只需一步即可保护您的网站!
第 2 步:选择登录限制和设置
查看左侧边栏,你会发现出现了 Limit Login Attempts 选项。
点击该选项,然后从下拉菜单中选择 Settings。
我们先来看看 General Settings:
- GDPR 合规性(GDPR compliance):该选项会在登录屏幕上添加一条小信息,告知用户您正在跟踪 IP 地址(GDPR 法律要求)。你可以在下面的方框中调整信息。
- 锁定时通知(Notify on lockout):使用此功能,只要有人被锁定在网站之外,您就会收到电子邮件提醒。您可以选择在收到电子邮件之前发生这种情况的次数。确保测试此功能是否有效。
- 显示/隐藏选项(Display/Hide options):接下来的四个复选框涉及插件在 WordPress 管理区中的显示方式。
再向下滚动一点,您就会看到App Settings区域:
- Micro Cloud:作为与插件开发人员共享不良 IP 地址的回报,您可以获得限制访问限制登录尝试重装版高级功能的权限。
- Local App:此处的设置控制插件如何阻止登录。除非你对时间和尝试次数有特别的想法,否则你可以不设置这一部分。
您可以通过高级订阅解锁更多设置。该插件有一个坚实的知识库,可帮助您浏览这些选项。
第 3 步:监控登录尝试
设置好保护后,您可以随时通过侧边栏访问 Limit Login Attempts > Logs,监控锁定情况。
如果已进入插件设置,则点击 Logs 选项卡。
您还可以使用该区域手动限制特定 IP 地址并将其添加到安全列表。
限制登录尝试插件的替代方案
虽然 Limit Login Attempts Reloaded 是一个很好的解决方案,但它并不是保护网站免受暴力攻击的唯一方法。
以下是一些可以考虑的替代方案:
1. Wordfence Security
Wordfence Security 有超过 500 万个网站在使用,可能是 WordPress 上最好的免费一体化安全插件。它提供的保护远不止登录保护,不过这也让它有点占用资源。
优点 :
- 全面的安全功能,包括暴力保护。
- 提供实时全球 IP 保护和 IP 情报。
缺点:可能与其他安全插件重叠:
- 可能与其他安全插件重叠。
- 由于功能丰富,初学者可能会不知所措。
2. Loginizer
Loginizer 这款免费插件可替代 Limit Login Attempts Reloaded。它提供了许多相同的功能,并获得了很高的评价,但它有点耗费资源。
优点
- 专门限制可疑登录尝试。
- 提供 IP 拦截和密码策略。
缺点:
- 可能会降低管理面板的运行速度。
3. 编辑 .htaccess 文件
在 WordPress 管理区中找不到登录限制选项。好消息是,如果您熟悉代码,您可以通过编辑网站的 .htaccess 文件来进行一些控制。
例如,您可以添加以下代码来限制特定 IP 地址的登录访问。只需将 XXX.XXX.XXX.XXX 部分替换为您希望允许访问的 IP 地址即可:
RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$ RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$ RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$ RewriteRule ^(.*)$ - [R=403,L]
不过,使用这种方法一定要非常小心。你很容易把自己锁在自己的网站之外!
此外,您应该记住,某些使用 NGINX 的计划不支持 .htaccess。如果是这种情况,我们建议您联系支持团队。
登录限制常见问题
我们没有涵盖您想知道的一切?别急,这里还有更多!
确保登录页面安全的其他方法有哪些?
我们建议采取以下步骤来确保登录安全:
最大登录重试次数是什么意思?
这是在阻止每个用户(IP 地址)再次尝试登录之前,WordPress 允许的最大登录失败次数。
如何取消登录尝试限制?
如果您说的是插件,只需停用和卸载即可。
至于如何解除对账户的封锁,请查看插件开发人员发布的这篇文章及关于取消限制登录的教程。
小结
限制登录尝试只是保持 WordPress 网站安全的一种方法。
您的WordPress网站的第一层保护是您的密码。您应该始终在WordPress网站上使用强密码。
强密码可能难以记住,但您可以使用密码管理器来轻松记住。
如果您的WordPress登录页面仍然受到攻击,那么您可以添加的另一层保护是Google reCAPTCHA for WordPress login 。这将进一步有助于减少DDoS攻击。
没有网站是100%安全的,因为黑客总能找到绕过系统的新方法。这就是为什么始终保持WordPress网站的完整备份至关重要的原因。我们建议使用UpdraftPlus或其他流行的WordPress备份插件。
如果您的网站是一家企业,那么我们强烈建议您添加防火墙来处理暴力攻击等等。我们使用Sucuri来保证我们的安全,如果我们的网站发生任何问题,他们的团队有责任免费修复它。
有关更多安全提示,请务必查看我们的WordPress安全检查清单。
我们希望本教程能帮助您了解如何限制WordPress登录尝试次数,以防有心之人搞破坏!
评论留言