Как ограничить попытки входа в систему в WordPress?

Опубликовано: 2021-11-30

В нашей предыдущей статье мы объяснили различные способы остановить атаки методом перебора на сайте WordPress. По сравнению со всеми другими вариантами, ограничение попыток входа на страницу входа в WordPress является одним из наиболее эффективных способов защиты вашего сайта. Большинство пользователей думают, что это сложная задача, и они не делают достаточно для повышения безопасности своего веб-сайта. В основном это связано с тем, что это может занять много времени, дорого и совершенно непросто. Но что, если мы скажем вам, что вы можете ограничить попытки входа на свой сайт WordPress менее чем за 10 минут с помощью плагина. Читайте дальше, чтобы узнать, как это сделать.

Зачем ограничивать попытки входа в систему в WordPress?

WordPress предлагает простую форму входа в систему, к которой можно получить доступ, добавив суффикс / wp-admin / или /wp-login.php к URL-адресу вашего веб-сайта. Хотя вы можете изменить этот URL-адрес с помощью плагина, это может создать другие проблемы, поскольку многие плагины WordPress используют одну и ту же страницу входа для доступа к панели инструментов. Ниже приведены некоторые типы плагинов, которые могут использовать вашу страницу входа в WordPress:

  • Плагины интернет-магазина, такие как WooCommerce
  • Плагин подписки на контент
  • Плагины членства

Не будет выглядеть профессиональным предоставление персонализированного URL-адреса или пароля вашим платежеспособным клиентам. Поэтому лучший вариант - ограничить попытки входа в систему, что позволит вашим клиентам входить на ваш сайт, одновременно ограничивая автоматических ботов.

Кроме того, блокирующие боты сэкономят пропускную способность сервера, которую можно использовать для обслуживания реальных посетителей вашего сайта.

Плагин Limit Login Attempts Reloaded

Наше решение этой проблемы - это плагин Limit Login Attempts Reloaded . Это лучший плагин WordPress для ограничения попыток входа в систему, его довольно легко настроить и внедрить.

  • Откройте административный портал WordPress и перейдите в раздел «Плагины> Добавить новый».
  • Просто введите «ограничить вход» в поле поиска, чтобы найти список соответствующих плагинов.
  • Найдите плагин Limit Login Attempts Reloaded в результатах поиска, нажмите «Установить», а затем нажмите «Активировать», как показано на снимке экрана ниже.
Установите и активируйте плагин ограничения входа
Установите и активируйте плагин ограничения входа

Панель управления плагином

После установки и активации вы найдете новое меню на боковой панели панели инструментов WordPress с именем «Ограничить попытки входа в систему». Щелкните это меню, чтобы войти в панель управления плагином. Кроме того, вы также можете получить доступ к странице из «Настройки> Ограничить попытки входа в систему», как показано на снимке экрана ниже.

Открыть панель управления попытками входа в систему
Открыть панель управления попытками входа в систему

Зайдя на страницу, вы увидите раздел панели управления плагина. Здесь вы сможете получить общий обзор всего, а также отслеживать следующее:

  • Просмотрите общее количество неудачных попыток входа на свой веб-сайт в графическом формате в виде круговой диаграммы и гистограммы.
  • Обновите плагин до премиум-версии. В то время как бесплатная версия плагина будет более чем достаточной для большинства пользователей, если вы испытаете снижение производительности веб-сайта после установки плагина, обновление до премиум-класса должно решить эту проблему, поскольку плагин начнет поглощать атаки грубой силы в их облаке. сервер, а не локально. Вы также получите круглосуточную поддержку, автоматическое резервное копирование всех данных и расширенное регулирование по другим параметрам.
  • Ежедневно просматривайте интересную статистику, например, неудачные попытки входа в систему по странам.
Панель управления ограничением попыток входа в систему
Панель управления ограничением попыток входа в систему

Настроить параметры плагина

Щелкните вкладку настроек, чтобы выполнить определенные настройки и изменить настройки входа в WordPress по умолчанию. На этой странице вы сможете внести следующие изменения:

  • Уведомлять о блокировке: введенный вами адрес электронной почты будет получать уведомления каждый раз, когда веб-сайт был заблокирован из-за нескольких неудачных попыток входа в систему. По умолчанию плагин будет уведомлять по электронной почте после 3 блокировок, но вы можете изменить его для каждой блокировки, введя «1» вместо 3, как показано ниже.
Настройки уведомлений при блокировке
Настройки уведомлений при блокировке
  • Настройки блокировки: в этом разделе вы можете внести следующие изменения безопасности:
    • Разрешенные повторные попытки : это количество попыток входа в административный портал веб-сайта. Значение плагина по умолчанию здесь 4, но 2 или 3 будет лучше с точки зрения безопасности.
    • Minutes Lockout: это время, в течение которого административный портал веб-сайта будет недоступен. По нашему мнению, значение по умолчанию, равное 20 минутам, является подходящим, но вы также можете внести изменения в соответствии с вашими предпочтениями.
  • Блокировки увеличивают время блокировки: по сути, это относится к тому, что произойдет после нескольких блокировок. Например, согласно настройкам плагина по умолчанию, после 4 блокировок продолжительность блокировки изменится с 20 минут на 24 часа.
  • Повторные попытки сбрасываются: введенное вами значение определяет, сколько времени потребуется, прежде чем повторные попытки будут сброшены, и пользователь сможет попытаться снова войти в систему.
  • Надежное происхождение IP: если у вас есть какое-либо конкретное происхождение, которому вы доверяете, вы можете ввести их здесь, разделив их запятыми. Как и в случае с плагином, мы также рекомендуем использовать исходную точку REMOTE_ADDR по умолчанию, поскольку другие источники можно легко подделать.
Настройки приложения ограничивают попытки входа в систему
Настройки приложения ограничивают попытки входа в систему

После того, как вы ввели определенные настройки для плагина, не забудьте нажать «Сохранить настройки», чтобы активировать вашу конфигурацию.

Просмотр журналов

Кроме того, на вкладке журналов вы сможете просматривать общие блокировки, а также вручную перечислять IP- или IP-диапазоны, которые вы хотите заблокировать или добавить в список надежных отправителей.

Ограничить журнал попыток входа в систему
Ограничить журнал попыток входа в систему

Посмотреть плагин в действии

Итак, теперь, когда мы настроили плагин, давайте посмотрим, как он на самом деле работает. Выйдите из административного портала WordPress и, когда вы находитесь на странице входа, введите неверное имя пользователя и пароль, чтобы протестировать плагин. Как видите, плагин четко показывает, сколько у вас попыток, прежде чем сайт заблокирует ваш IP-адрес. Вы увидите сообщение типа «Осталось 3 попытки», поскольку мы настроили ограничение входа в систему тремя недопустимыми попытками.

Неверная попытка входа в систему
Неверная попытка входа в систему

Если вы продолжите вводить неправильное имя пользователя или пароль, вы столкнетесь с состоянием блокировки, как показано на снимке экрана ниже. В этой ситуации вы не сможете отправить еще один запрос на вход, пока не истечет время блокировки, в данном случае 20 минут. Фактически, даже если вы отправите правильные учетные данные, плагин не позволит вам войти в систему в течение этого периода блокировки.

Попытка заблокировать вход в систему
Попытка заблокировать вход в систему

Заключительные слова

Мы настоятельно рекомендуем ограничить попытки входа на свой сайт WordPress, особенно если вы не используете какие-либо функции регистрации. Вы можете отслеживать статистику неудачных попыток входа в систему, чтобы понять причину атак. При необходимости вы можете увеличить продолжительность блокировки или навсегда заблокировать IP-адреса для повышения безопасности. Однако избегайте использования слишком большого количества ограничений, когда у вас есть платные клиенты, входящие в систему через форму входа WordPress по умолчанию.