如何限制 WordPress 中的登录尝试?

已发表: 2021-11-30

在我们之前的文章中,我们解释了阻止 WordPress 站点暴力攻击的不同方法。 与所有其他选项相比,限制 WordPress 登录页面的登录尝试是保护您网站的最有效方法之一。 大多数用户认为这是一项艰巨的任务,并且在增强其网站的安全性方面做得还不够。 这主要是因为它可能耗时、昂贵且非常困难。 但是,如果我们告诉您,您可以使用插件在不到 10 分钟的时间内限制在您的 WordPress 站点中的登录尝试呢? 继续阅读以了解如何做到这一点。

为什么要限制 WordPress 中的登录尝试?

WordPress 提供了一个简单的登录表单,可以通过将 /wp-admin/ 或 /wp-login.php 后缀添加到您的网站 URL 来访问该表单。 虽然您可以使用插件更改此 URL,但它可能会产生其他问题,因为许多 WordPress 插件使用相同的登录页面来访问仪表板。 以下是一些可能会使用您的 WordPress 登录页面的插件类型:

  • 在线商店插件,如 WooCommerce
  • 内容订阅插件
  • 会员插件

向付费客户提供自定义 URL 或密码看起来并不专业。 因此,最好的选择是限制登录尝试,这将允许您的客户在限制自动机器人的同时登录您的站点。

此外,阻止机器人将节省服务器带宽,可用于为您网站的真实访问者提供服务。

限制登录尝试重新加载插件

我们对这个问题的解决方案是Limit Login Attempts Reloaded Plugin。 它是用于限制登录尝试的最佳 WordPress 插件,并且非常易于配置和实施。

  • 打开您的 WordPress 管理门户并转到“插件 > 添加新”部分。
  • 只需在搜索框中输入“限制登录”即可找到相关插件列表。
  • 在搜索结果中找到Limit Login Attempts Reloaded plugin,点击“Install”,然后点击“Activate”,如下图所示。
安装和激活登录限制插件
安装和激活登录限制插件

插件仪表板

安装和激活后,您会在 WordPress 仪表板侧边栏中找到一个名为“限制登录尝试”的新菜单。 单击该菜单以进入插件的控制面板。 或者,您也可以从“设置 > 限制登录尝试”访问该页面,如下面的屏幕截图所示。

打开限制登录尝试仪表板
打开限制登录尝试仪表板

进入页面后,您将看到插件的仪表板部分。 在这里,您将能够大致了解所有内容并监控以下内容:

  • 以饼图和条形图的形式以图形表示的格式查看您网站上失败的登录尝试总数。
  • 升级到插件的高级版本。 虽然该插件的免费版本对于大多数用户来说已经绰绰有余,但如果您在安装该插件后发现网站性能下降,升级到高级版应该可以解决这个问题,因为该插件将开始在他们的云中吸收蛮力攻击服务器而不是本地。 您还将获得 24 小时支持、所有数据的自动备份以及对其他事情的高级限制。
  • 查看有趣的统计数据,例如国家/地区每天的失败登录尝试。
限制登录尝试仪表板
限制登录尝试仪表板

配置插件设置

单击设置选项卡可对 WordPress 的默认登录设置进行特定配置和更改。 在此页面上,您将能够进行以下更改:

  • 锁定通知:每次由于多次登录尝试失败而导致网站被锁定时,您插入的电子邮件地址都会收到通知。 默认情况下,插件会在 3 次锁定后通过电子邮件通知,但您可以通过输入“1”而不是 3 将其更改为每次锁定,如下所示。
锁定通知设置
锁定通知设置
  • 锁定设置:在此部分中,您可以进行以下安全修改:
    • 允许重试:这是您可以尝试登录网站管理门户的次数。 这里插件的默认值是 4,但从安全角度来看,2 或 3 会更好。
    • 分钟锁定:这是网站管理门户无法访问的持续时间。 我们认为默认值 20 分钟是合适的,但您也可以根据自己的喜好进行更改。
  • 锁定会增加锁定时间:这实质上是指多次锁定后会发生什么。 例如,根据插件的默认设置,锁定 4 次后,锁定持续时间将从 20 分钟更改为 24 小时。
  • 重试被重置:您输入的值将决定在重试被重置之前需要多长时间,用户可以尝试再次登录。
  • 受信任的 IP来源如果您有任何您信任的特定来源,那么您可以在此处输入它们,以逗号分隔。 与插件一样,我们还建议您使用默认的 REMOTE_ADDR 来源,因为其他来源很容易被伪造。
应用设置限制登录尝试
应用设置限制登录尝试

输入插件的特定设置后,不要忘记单击“保存设置”以激活您的配置。

查看日志

此外,从日志选项卡,您将能够查看到目前为止的总锁定以及手动列出要阻止或安全列表的 IP 或 IP 范围。

限制登录尝试日志
限制登录尝试日志

观看插件运行

现在我们已经配置了插件,让我们看看它是如何工作的。 退出 WordPress 管理门户,当您进入登录页面时,输入无效的用户名和密码以测试插件。 正如您所看到的,该插件清楚地显示了在站点锁定您的 IP 地址之前您进行了多少次尝试。 您将看到类似“剩余 3 次尝试”的消息,因为我们已配置为将登录限制为 3 次无效尝试。

无效的登录尝试
无效的登录尝试

如果您继续输入错误的用户名或密码,您将遇到锁定状态,如下面的屏幕截图所示。 在这种情况下,您将无法提交另一个登录请求,直到锁定持续时间到期,在这种情况下为 20 分钟。 事实上,即使您提交了正确的凭据,该插件也不会让您在此锁定期间登录。

锁定登录尝试
锁定登录尝试

最后的话

我们强烈建议限制在您的 WordPress 站点中的登录尝试,尤其是在您不使用任何注册功能的情况下。 您可以监控登录失败的统计信息以了解攻击来源。 如果需要,您可以增加锁定持续时间或永久阻止 IP 地址以提高安全性。 但是,当您让付费客户通过默认的 WordPress 登录表单登录时,请避免使用太多限制。