Jak ograniczyć próby logowania w WordPressie?

Opublikowany: 2021-11-30

W naszym wcześniejszym artykule wyjaśniliśmy różne sposoby powstrzymania ataków brute force w witrynie WordPress. W porównaniu do wszystkich innych opcji, ograniczenie prób logowania na stronie logowania do WordPressa jest jednym z najskuteczniejszych sposobów ochrony Twojej witryny. Większość użytkowników uważa, że ​​jest to trudne zadanie i nie robi wystarczająco dużo, aby zwiększyć bezpieczeństwo swojej witryny. Wynika to głównie z faktu, że może to być czasochłonne, kosztowne i wręcz trudne. Ale co, jeśli powiemy Ci, że możesz ograniczyć próby logowania w swojej witrynie WordPress w mniej niż 10 minut za pomocą wtyczki. Czytaj dalej, aby dowiedzieć się, jak możesz to zrobić.

Dlaczego ograniczać próby logowania w WordPressie?

WordPress oferuje prosty formularz logowania, do którego można uzyskać dostęp, dodając sufiks /wp-admin/ lub /wp-login.php do adresu URL witryny. Chociaż możesz zmienić ten adres URL za pomocą wtyczki, może to spowodować inne problemy, ponieważ wiele wtyczek WordPress używa tej samej strony logowania do uzyskiwania dostępu do pulpitu nawigacyjnego. Poniżej znajdują się niektóre typy wtyczek, które mogą korzystać z Twojej strony logowania do WordPressa:

  • Wtyczki sklepu internetowego, takie jak WooCommerce
  • Wtyczka subskrypcji treści
  • Wtyczki członkowskie

Podanie niestandardowego adresu URL lub hasła płatnym klientom nie będzie wyglądać profesjonalnie. Dlatego najlepszą opcją jest ograniczenie prób logowania, co pozwoli Twoim klientom zalogować się do Twojej witryny, jednocześnie ograniczając automatyczne boty.

Ponadto blokowanie botów pozwoli zaoszczędzić przepustowość serwera, którą można wykorzystać do obsługi prawdziwych użytkowników Twojej witryny.

Ogranicz liczbę prób logowania przeładowanych wtyczek

Nasze rozwiązanie tego problemu ma postać wtyczki Ograniczenie prób logowania do ponownego załadowania. Jest to bez wątpienia najlepsza wtyczka WordPress do ograniczania prób logowania i jest dość łatwa w konfiguracji i implementacji.

  • Otwórz portal administracyjny WordPressa i przejdź do sekcji „Wtyczki > Dodaj nowy”.
  • Wystarczy wpisać „limit logowania” w polu wyszukiwania, aby znaleźć listę odpowiednich wtyczek.
  • Znajdź wtyczkę Limit Login Attempts Reloaded w wynikach wyszukiwania, kliknij „Zainstaluj”, a następnie kliknij „Aktywuj”, jak pokazano na zrzucie ekranu poniżej.
Zainstaluj i aktywuj wtyczkę limitu logowania
Zainstaluj i aktywuj wtyczkę limitu logowania

Panel wtyczek

Po instalacji i aktywacji na pasku bocznym pulpitu WordPress pojawi się nowe menu o nazwie „Ogranicz próby logowania”. Kliknij to menu, aby wejść do panelu sterowania wtyczki. Alternatywnie możesz również uzyskać dostęp do strony z "Ustawienia> Ogranicz próby logowania", jak pokazano na zrzucie ekranu poniżej.

Otwórz panel prób logowania z limitem
Otwórz panel prób logowania z limitem

Po wejściu na stronę zobaczysz sekcję dashboardu wtyczki. Tutaj możesz uzyskać ogólny przegląd wszystkiego, a także monitorować:

  • Zobacz łączną liczbę nieudanych prób logowania w Twojej witrynie w postaci graficznej w postaci wykresu kołowego i wykresu słupkowego.
  • Uaktualnij wtyczkę do wersji premium. Chociaż bezpłatna wersja wtyczki będzie więcej niż wystarczająca dla większości użytkowników, jeśli po zainstalowaniu wtyczki wystąpi zmniejszona wydajność witryny, aktualizacja do wersji premium powinna rozwiązać ten problem, ponieważ wtyczka zacznie absorbować ataki typu brute-force w ich chmurze serwer, a nie lokalnie. Otrzymasz również 24-godzinne wsparcie, automatyczne tworzenie kopii zapasowych wszystkich danych i zaawansowane ograniczanie przepustowości w stosunku do innych rzeczy.
  • Codziennie przeglądaj interesujące statystyki, takie jak nieudane próby logowania według krajów.
Ogranicz liczbę prób logowania
Ogranicz liczbę prób logowania

Skonfiguruj ustawienia wtyczki

Kliknij zakładkę ustawień, aby wprowadzić określone konfiguracje i zmiany w domyślnych ustawieniach logowania WordPress. Na tej stronie będziesz mógł wprowadzić następujące zmiany:

  • Powiadom o zablokowaniu : Wprowadzony adres e-mail będzie powiadamiany za każdym razem, gdy witryna zostanie zablokowana z powodu wielu nieudanych prób logowania. Domyślnie wtyczka będzie powiadamiać e-mailem po 3 blokadach, ale możesz zmienić ją na każdą blokadę, wpisując „1” zamiast 3, jak pokazano poniżej.
Ustawienia powiadomień przy blokadzie
Ustawienia powiadomień przy blokadzie
  • Ustawienia blokady: W tej sekcji możesz wprowadzić następujące modyfikacje zabezpieczeń:
    • Dozwolone ponawianie prób: Jest to liczba prób zalogowania się do portalu administracyjnego witryny. Domyślna wartość wtyczki to 4, ale 2 lub 3 będą lepsze z punktu widzenia bezpieczeństwa.
    • Blokada minutowa: Jest to czas, przez który portal administracyjny witryny będzie niedostępny. Naszym zdaniem domyślna wartość 20 minut jest odpowiednia, ale możesz również wprowadzić zmiany zgodnie ze swoimi preferencjami.
  • Blokady wydłużają czas blokady: zasadniczo odnosi się to do tego, co stanie się po wielu blokadach. Na przykład, zgodnie z domyślnymi ustawieniami wtyczki, po 4 blokadach czas blokady zmieni się na 24 godziny z 20 minut.
  • Ponowne próby są zresetowane: Wprowadzona wartość określi, jak długo potrwa, zanim ponowne próby zostaną zresetowane, a użytkownik będzie mógł ponownie spróbować się zalogować.
  • Zaufane źródła IP: Jeśli masz jakieś konkretne źródła, którym ufasz, możesz je wprowadzić tutaj, oddzielając je przecinkami. Podobnie jak w przypadku wtyczki, zalecamy również korzystanie z domyślnego źródła REMOTE_ADDR, ponieważ inne źródła można łatwo sfałszować.
Ustawienia aplikacji Limit prób logowania
Ustawienia aplikacji Limit prób logowania

Po wprowadzeniu określonych ustawień wtyczki nie zapomnij kliknąć „Zapisz ustawienia”, aby aktywować konfigurację.

Przeglądanie dzienników

Co więcej, na karcie dzienników będziesz mógł wyświetlić dotychczasowe całkowite blokady, a także ręcznie wyświetlić listę adresów IP lub zakresów adresów IP, które chcesz zablokować lub bezpiecznie wyświetlić.

Ogranicz dziennik prób logowania
Ogranicz dziennik prób logowania

Obejrzyj wtyczkę w akcji

Więc teraz, gdy już skonfigurowaliśmy wtyczkę, zobaczmy, jak faktycznie działa. Wyloguj się z portalu administracyjnego WordPress i po wejściu na stronę logowania wprowadź nieprawidłową nazwę użytkownika i hasło, aby przetestować wtyczkę. Jak widać, wtyczka wyraźnie pokazuje, ile masz prób, zanim witryna zablokuje Twój adres IP. Zobaczysz komunikat „Pozostały 3 próby”, ponieważ skonfigurowaliśmy ograniczenie logowania do 3 nieprawidłowych prób.

Nieprawidłowa próba logowania
Nieprawidłowa próba logowania

Jeśli będziesz nadal wprowadzać niewłaściwą nazwę użytkownika lub hasło, napotkasz stan blokady, jak pokazano na zrzucie ekranu poniżej. W takiej sytuacji nie będziesz mógł przesłać kolejnej prośby o zalogowanie się do czasu wygaśnięcia blokady, w tym przypadku 20 minut. W rzeczywistości, nawet jeśli podasz poprawne dane uwierzytelniające, wtyczka nie pozwoli Ci się zalogować podczas trwania blokady.

Próba logowania blokady
Próba logowania blokady

Ostatnie słowa

Zdecydowanie zalecamy ograniczenie prób logowania w witrynie WordPress, zwłaszcza jeśli nie korzystasz z żadnych funkcji rejestracji. Możesz monitorować statystyki nieudanych logowań, aby zrozumieć pochodzenie ataków. W razie potrzeby możesz wydłużyć czas trwania blokady lub trwale zablokować adresy IP, aby zwiększyć bezpieczeństwo. Unikaj jednak stosowania zbyt wielu ograniczeń, gdy klienci płacący logują się za pomocą domyślnego formularza logowania WordPress.