如果有陌生人一次又一次地敲你的前門,你可能會把門閂上。或者再加三道鎖。您的網上家園也應該得到同樣的保護。
黑客可能會使用蠻力攻擊來嘗試猜測您的管理員密碼。如果您限制他們可以嘗試登入的次數,那麼您會大大降低他們成功的機會。
在本教程中,我們將說明為何應限制WordPress網站登入嘗試次數及如何使用 Limit Login Attempts Reloaded 外掛限制使用者登入次數,此外還列出一些可替代的安全外掛方案。
為什麼要限制WordPress登入嘗試次數?
蠻力攻擊是一種使用反覆試驗來入侵您的WordPress網站的方法。
最常見的蠻力攻擊型別是密碼猜測。黑客使用自動化軟體不斷猜測您的登入資訊,以便他們可以訪問您的網站。
預設情況下,WordPress允許使用者根據需要多次輸入密碼。黑客可能會嘗試通過使用輸入不同組合的指令碼來利用此漏洞,直到他們猜到正確的登入名。
您可以通過限制每個使用者的失敗登入嘗試次數來防止暴力攻擊。例如,您可以在5次登入嘗試失敗後暫時鎖定使用者。
限制登入嘗試的潛在弊端
值得注意的是,限制登入嘗試可能會帶來一些麻煩。例如,真正的使用者可能會發現,如果他們打錯了幾個字或忘記了密碼,就會被鎖定。這可能會讓雙方都很沮喪。
另一個潛在問題是,限制登入可能會讓你更容易受到拒絕服務(DoS)攻擊。惡意黑客可能會故意讓多個 IP 地址的登入限制超載,從而有效地鎖定所有使用者,包括你自己。很可怕,不是嗎?
在極少數情況下,登入限制可能會導致效能問題。這種情況通常發生在鎖定設定過於激進,或者您的網站流量很大,因此您的網站伺服器必須努力跟蹤和阻止成千上萬個 IP 地址。
不幸的是,一些使用者在多次錯誤地輸入密碼後發現自己被鎖定在自己的WordPress網站之外。如果您發現自己處於這種情況,那麼您應該按照我們指南中有關如何取消WordPress限制登入嘗試的步驟進行操作。
話雖如此,讓我們來看看如何限制您的WordPress網站上的登入嘗試。
Limit Login Attempts Reloaded 外掛簡述
Limit Login Attempts Reloaded 是最流行的 WordPress 外掛,用於限制任何人嘗試登入網站的次數。它是如何工作的?通過跟蹤來自每個 IP 地址的登入嘗試次數。
基本外掛是免費的,可有效防止暴力攻擊,即黑客試圖猜測您的密碼。
免費版還提供
- 嘗試登入的完整日誌。
- 電子郵件通知。
- 保護 WooCommerce 商店。
- 與 Wordfence 等其他安全外掛相容。
要獲得更多網站安全功能,您可以付費購買高階許可證。每個域名的許可證費用為每月 7.99 美元,或者終身許可證費用為 299.99 美元。
這些額外功能包括
- 智慧 IP 地址過濾。
- 根據位置阻止 IP 地址。
如何使用外掛限制WordPress登入嘗試次數
這就是理論的全部內容。現在,是時候採取一些行動了。
設定限制登入嘗試重灌外掛非常簡單。這也是它如此受歡迎的部分原因。
不過,萬一你發現自己有點卡住了,這裡有一個快速操作步驟:
第 1 步:安裝Limit Login Attempts Reloaded
前往 WordPress 網站的儀表板,然後選擇外掛 > 新增新外掛。
接下來,在右上角的搜尋欄中輸入 Limit Login Attempts Reloaded,然後點選 Enter。你想要的外掛應該會出現在第一個結果中。
找到外掛後,選擇立即安裝。
外掛安裝完成後,點選啟用。請與我們保持聯絡–您只需一步即可保護您的網站!
第 2 步:選擇登入限制和設定
檢視左側邊欄,你會發現出現了 Limit Login Attempts 選項。
點選該選項,然後從下拉選單中選擇 Settings。
我們先來看看 General Settings:
- GDPR 合規性(GDPR compliance):該選項會在登入螢幕上新增一條小資訊,告知使用者您正在跟蹤 IP 地址(GDPR 法律要求)。你可以在下面的方框中調整資訊。
- 鎖定時通知(Notify on lockout):使用此功能,只要有人被鎖定在網站之外,您就會收到電子郵件提醒。您可以選擇在收到電子郵件之前發生這種情況的次數。確保測試此功能是否有效。
- 顯示/隱藏選項(Display/Hide options):接下來的四個覈取方塊涉及外掛在 WordPress 管理區中的顯示方式。
再向下滾動一點,您就會看到App Settings區域:
- Micro Cloud:作為與外掛開發人員共享不良 IP 地址的回報,您可以獲得限制訪問限制登入嘗試重灌版高階功能的許可權。
- Local App:此處的設定控制外掛如何阻止登入。除非你對時間和嘗試次數有特別的想法,否則你可以不設定這一部分。
您可以通過高階訂閱解鎖更多設定。該外掛有一個堅實的知識庫,可幫助您瀏覽這些選項。
第 3 步:監控登入嘗試
設定好保護後,您可以隨時通過側邊欄訪問 Limit Login Attempts > Logs,監控鎖定情況。
如果已進入外掛設定,則點選 Logs 選項卡。
您還可以使用該區域手動限制特定 IP 地址並將其新增到安全列表。
限制登入嘗試外掛的替代方案
雖然 Limit Login Attempts Reloaded 是一個很好的解決方案,但它並不是保護網站免受暴力攻擊的唯一方法。
以下是一些可以考慮的替代方案:
1. Wordfence Security
Wordfence Security 有超過 500 萬個網站在使用,可能是 WordPress 上最好的免費一體化安全外掛。它提供的保護遠不止登入保護,不過這也讓它有點佔用資源。
優點 :
- 全面的安全功能,包括暴力保護。
- 提供實時全球 IP 保護和 IP 情報。
缺點:可能與其他安全外掛重疊:
- 可能與其他安全外掛重疊。
- 由於功能豐富,初學者可能會不知所措。
2. Loginizer
Loginizer 這款免費外掛可替代 Limit Login Attempts Reloaded。它提供了許多相同的功能,並獲得了很高的評價,但它有點耗費資源。
優點
- 專門限制可疑登入嘗試。
- 提供 IP 攔截和密碼策略。
缺點:
- 可能會降低管理面板的執行速度。
3. 編輯 .htaccess 檔案
在 WordPress 管理區中找不到登入限制選項。好訊息是,如果您熟悉程式碼,您可以通過編輯網站的 .htaccess 檔案來進行一些控制。
例如,您可以新增以下程式碼來限制特定 IP 地址的登入訪問。只需將 XXX.XXX.XXX.XXX 部分替換為您希望允許訪問的 IP 地址即可:
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$
RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$
RewriteCond %{REMOTE_ADDR} !^XXX.XXX.XXX.XXX$
RewriteRule ^(.*)$ - [R=403,L]
不過,使用這種方法一定要非常小心。你很容易把自己鎖在自己的網站之外!
此外,您應該記住,某些使用 NGINX 的計劃不支援 .htaccess。如果是這種情況,我們建議您聯絡支援團隊。
登入限制常見問題
我們沒有涵蓋您想知道的一切?別急,這裡還有更多!
確保登入頁面安全的其他方法有哪些?
我們建議採取以下步驟來確保登入安全:
最大登入重試次數是什麼意思?
這是在阻止每個使用者(IP 地址)再次嘗試登入之前,WordPress 允許的最大登入失敗次數。
如何取消登入嘗試限制?
如果您說的是外掛,只需停用和解除安裝即可。
至於如何解除對賬戶的封鎖,請檢視外掛開發人員釋出的這篇文章及關於取消限制登入的教程。
小結
限制登入嘗試只是保持 WordPress 網站安全的一種方法。
您的WordPress網站的第一層保護是您的密碼。您應該始終在WordPress網站上使用強密碼。
強密碼可能難以記住,但您可以使用密碼管理器來輕鬆記住。
如果您的WordPress登入頁面仍然受到攻擊,那麼您可以新增的另一層保護是Google reCAPTCHA for WordPress login 。這將進一步有助於減少DDoS攻擊。
沒有網站是100%安全的,因為黑客總能找到繞過系統的新方法。這就是為什麼始終保持WordPress網站的完整備份至關重要的原因。我們建議使用UpdraftPlus或其他流行的WordPress備份外掛。
如果您的網站是一家企業,那麼我們強烈建議您新增防火牆來處理暴力攻擊等等。我們使用Sucuri來保證我們的安全,如果我們的網站發生任何問題,他們的團隊有責任免費修復它。
有關更多安全提示,請務必檢視我們的WordPress安全檢查清單。
我們希望本教程能幫助您瞭解如何限制WordPress登入嘗試次數,以防有心之人搞破壞!
評論留言