WordPress安全策略:增加用户限制登录尝试

如果有陌生人一次又一次地敲你的前门,你可能会把门闩上。或者再加三道锁。您的网上家园也应该得到同样的保护。

黑客可能会使用蛮力攻击来尝试猜测您的管理员密码。如果您限制他们可以尝试登录的次数,那么您会大大降低他们成功的机会。

在本教程中,我们将说明为何应限制WordPress网站登录尝试次数及如何使用 Limit Login Attempts Reloaded 插件限制用户登录次数,此外还列出一些可替代的安全插件方案。

WordPress安全策略:增加用户限制登录尝试

为什么要限制WordPress登录尝试次数?

蛮力攻击是一种使用反复试验来入侵您的WordPress网站的方法。

最常见的蛮力攻击类型是密码猜测。黑客使用自动化软件不断猜测您的登录信息,以便他们可以访问您的网站。

默认情况下,WordPress允许用户根据需要多次输入密码。黑客可能会尝试通过使用输入不同组合的脚本来利用此漏洞,直到他们猜到正确的登录名。

您可以通过限制每个用户的失败登录尝试次数来防止暴力攻击。例如,您可以在5次登录尝试失败后暂时锁定用户。

限制WordPress登录尝试次数提示

限制登录尝试的潜在弊端

值得注意的是,限制登录尝试可能会带来一些麻烦。例如,真正的用户可能会发现,如果他们打错了几个字或忘记了密码,就会被锁定。这可能会让双方都很沮丧。

另一个潜在问题是,限制登录可能会让你更容易受到拒绝服务(DoS)攻击。恶意黑客可能会故意让多个 IP 地址的登录限制超载,从而有效地锁定所有用户,包括你自己。很可怕,不是吗?

在极少数情况下,登录限制可能会导致性能问题。这种情况通常发生在锁定设置过于激进,或者您的网站流量很大,因此您的网站服务器必须努力跟踪和阻止成千上万个 IP 地址。

限制登录尝试的优缺点

不幸的是,一些用户在多次错误地输入密码后发现自己被锁定在自己的WordPress网站之外。如果您发现自己处于这种情况,那么您应该按照我们指南中有关如何取消WordPress限制登录尝试的步骤进行操作。

话虽如此,让我们来看看如何限制您的WordPress网站上的登录尝试。

Limit Login Attempts Reloaded 插件简述

Limit Login Attempts Reloaded 插件
Limit Login Attempts Reloaded 是最流行的 WordPress 插件,用于限制任何人尝试登录网站的次数。它是如何工作的?通过跟踪来自每个 IP 地址的登录尝试次数。

基本插件是免费的,可有效防止暴力攻击,即黑客试图猜测您的密码。

免费版还提供

  • 尝试登录的完整日志。
  • 电子邮件通知。
  • 保护 WooCommerce 商店
  • 与 Wordfence 等其他安全插件兼容。

要获得更多网站安全功能,您可以付费购买高级许可证。每个域名的许可证费用为每月 7.99 美元,或者终身许可证费用为 299.99 美元。

这些额外功能包括

  • 智能 IP 地址过滤。
  • 根据位置阻止 IP 地址。

如何使用插件限制WordPress登录尝试次数

这就是理论的全部内容。现在,是时候采取一些行动了。

设置限制登录尝试重装插件非常简单。这也是它如此受欢迎的部分原因。

不过,万一你发现自己有点卡住了,这里有一个快速操作步骤:

第 1 步:安装Limit Login Attempts Reloaded

前往 WordPress 网站的仪表板,然后选择插件 > 添加新插件

安装Limit Login Attempts Reloaded
接下来,在右上角的搜索栏中输入 Limit Login Attempts Reloaded,然后点击 Enter。你想要的插件应该会出现在第一个结果中。

找到插件后,选择立即安装

搜索安装Limit Login Attempts Reloaded
插件安装完成后,点击启用。请与我们保持联系–您只需一步即可保护您的网站!

第 2 步:选择登录限制和设置

查看左侧边栏,你会发现出现了 Limit Login Attempts 选项。

点击该选项,然后从下拉菜单中选择 Settings

选择登录限制和设置
我们先来看看 General Settings

  • GDPR 合规性(GDPR compliance):该选项会在登录屏幕上添加一条小信息,告知用户您正在跟踪 IP 地址(GDPR 法律要求)。你可以在下面的方框中调整信息。
  • 锁定时通知(Notify on lockout):使用此功能,只要有人被锁定在网站之外,您就会收到电子邮件提醒。您可以选择在收到电子邮件之前发生这种情况的次数。确保测试此功能是否有效。
  • 显示/隐藏选项(Display/Hide options):接下来的四个复选框涉及插件在 WordPress 管理区中的显示方式。

常规设置
再向下滚动一点,您就会看到App Settings区域:

  • Micro Cloud:作为与插件开发人员共享不良 IP 地址的回报,您可以获得限制访问限制登录尝试重装版高级功能的权限。
  • Local App:此处的设置控制插件如何阻止登录。除非你对时间和尝试次数有特别的想法,否则你可以不设置这一部分。

APP设置
您可以通过高级订阅解锁更多设置。该插件有一个坚实的知识库,可帮助您浏览这些选项。

第 3 步:监控登录尝试

设置好保护后,您可以随时通过侧边栏访问 Limit Login Attempts > Logs,监控锁定情况。

监控登录尝试
如果已进入插件设置,则点击 Logs 选项卡。

Logs 选项卡
您还可以使用该区域手动限制特定 IP 地址并将其添加到安全列表。

限制登录尝试插件的替代方案

虽然 Limit Login Attempts Reloaded 是一个很好的解决方案,但它并不是保护网站免受暴力攻击的唯一方法。

以下是一些可以考虑的替代方案:

1. Wordfence Security

Wordfence Security
Wordfence Security 有超过 500 万个网站在使用,可能是 WordPress 上最好的免费一体化安全插件。它提供的保护远不止登录保护,不过这也让它有点占用资源。

优点

  • 全面的安全功能,包括暴力保护。
  • 提供实时全球 IP 保护和 IP 情报。

缺点:可能与其他安全插件重叠:

  • 可能与其他安全插件重叠。
  • 由于功能丰富,初学者可能会不知所措。

2. Loginizer

Loginizer
Loginizer 这款免费插件可替代 Limit Login Attempts Reloaded。它提供了许多相同的功能,并获得了很高的评价,但它有点耗费资源。

优点

  • 专门限制可疑登录尝试。
  • 提供 IP 拦截和密码策略。

缺点:

  • 可能会降低管理面板的运行速度。

3. 编辑 .htaccess 文件

编辑 .htaccess 文件
在 WordPress 管理区中找不到登录限制选项。好消息是,如果您熟悉代码,您可以通过编辑网站的 .htaccess 文件来进行一些控制。

例如,您可以添加以下代码来限制特定 IP 地址的登录访问。只需将 XXX.XXX.XXX.XXX 部分替换为您希望允许访问的 IP 地址即可:

RewriteEngine on 
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR] 
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ 
RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$ 
RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$ 
RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$ 
RewriteRule ^(.*)$ - [R=403,L]

不过,使用这种方法一定要非常小心。你很容易把自己锁在自己的网站之外!

此外,您应该记住,某些使用 NGINX 的计划不支持 .htaccess。如果是这种情况,我们建议您联系支持团队。

登录限制常见问题

我们没有涵盖您想知道的一切?别急,这里还有更多!

确保登录页面安全的其他方法有哪些?

我们建议采取以下步骤来确保登录安全:

最大登录重试次数是什么意思?

这是在阻止每个用户(IP 地址)再次尝试登录之前,WordPress 允许的最大登录失败次数。

如何取消登录尝试限制?

如果您说的是插件,只需停用和卸载即可。

至于如何解除对账户的封锁,请查看插件开发人员发布的这篇文章关于取消限制登录的教程

小结

限制登录尝试只是保持 WordPress 网站安全的一种方法。

您的WordPress网站的第一层保护是您的密码。您应该始终在WordPress网站上使用强密码。

强密码可能难以记住,但您可以使用密码管理器来轻松记住。

如果您的WordPress登录页面仍然受到攻击,那么您可以添加的另一层保护是Google reCAPTCHA for WordPress login 。这将进一步有助于减少DDoS攻击

没有网站是100%安全的,因为黑客总能找到绕过系统的新方法。这就是为什么始终保持WordPress网站的完整备份至关重要的原因。我们建议使用UpdraftPlus或其他流行的WordPress备份插件

如果您的网站是一家企业,那么我们强烈建议您添加防火墙来处理暴力攻击等等。我们使用Sucuri来保证我们的安全,如果我们的网站发生任何问题,他们的团队有责任免费修复它。

有关更多安全提示,请务必查看我们的WordPress安全检查清单

我们希望本教程能帮助您了解如何限制WordPress登录尝试次数,以防有心之人搞破坏!

评论留言