如何限制 WordPress 中的登錄嘗試?

已發表: 2021-11-30

在我們之前的文章中,我們解釋了阻止 WordPress 站點暴力攻擊的不同方法。 與所有其他選項相比,限制 WordPress 登錄頁面的登錄嘗試是保護您網站的最有效方法之一。 大多數用戶認為這是一項艱鉅的任務,並且在增強其網站的安全性方面做得還不夠。 這主要是因為它可能耗時、昂貴且非常困難。 但是,如果我們告訴您,您可以使用插件在不到 10 分鐘的時間內限制在您的 WordPress 站點中的登錄嘗試呢? 繼續閱讀以了解如何做到這一點。

為什麼要限制 WordPress 中的登錄嘗試?

WordPress 提供了一個簡單的登錄表單,可以通過將 /wp-admin/ 或 /wp-login.php 後綴添加到您的網站 URL 來訪問該表單。 雖然您可以使用插件更改此 URL,但它可能會產生其他問題,因為許多 WordPress 插件使用相同的登錄頁面來訪問儀表板。 以下是一些可能會使用您的 WordPress 登錄頁面的插件類型:

  • 在線商店插件,如 WooCommerce
  • 內容訂閱插件
  • 會員插件

向付費客戶提供自定義 URL 或密碼看起來並不專業。 因此,最好的選擇是限制登錄嘗試,這將允許您的客戶在限制自動機器人的同時登錄您的站點。

此外,阻止機器人將節省服務器帶寬,可用於為您網站的真實訪問者提供服務。

限制登錄嘗試重新加載插件

我們對這個問題的解決方案是Limit Login Attempts Reloaded Plugin。 它是用於限制登錄嘗試的最佳 WordPress 插件,並且非常易於配置和實施。

  • 打開您的 WordPress 管理門戶並轉到“插件 > 添加新”部分。
  • 只需在搜索框中輸入“限制登錄”即可找到相關插件列表。
  • 在搜索結果中找到Limit Login Attempts Reloaded plugin,點擊“Install”,然後點擊“Activate”,如下圖所示。
安裝和激活登錄限制插件
安裝和激活登錄限制插件

插件儀表板

安裝和激活後,您會在 WordPress 儀表板側邊欄中找到一個名為“限制登錄嘗試”的新菜單。 單擊該菜單以進入插件的控制面板。 或者,您也可以從“設置 > 限制登錄嘗試”訪問該頁面,如下面的屏幕截圖所示。

打開限制登錄嘗試儀表板
打開限制登錄嘗試儀表板

進入頁面後,您將看到插件的儀表板部分。 在這裡,您將能夠大致了解所有內容並監控以下內容:

  • 以餅圖和條形圖的形式以圖形表示的格式查看您網站上失敗的登錄嘗試總數。
  • 升級到插件的高級版本。 雖然該插件的免費版本對於大多數用戶來說已經綽綽有餘,但如果您在安裝該插件後發現網站性能下降,升級到高級版應該可以解決這個問題,因為該插件將開始在他們的雲中吸收蠻力攻擊服務器而不是本地。 您還將獲得 24 小時支持、所有數據的自動備份以及對其他事情的高級限制。
  • 查看有趣的統計數據,例如國家/地區每天的失敗登錄嘗試。
限制登錄嘗試儀表板
限制登錄嘗試儀表板

配置插件設置

單擊設置選項卡可對 WordPress 的默認登錄設置進行特定配置和更改。 在此頁面上,您將能夠進行以下更改:

  • 鎖定通知:每次由於多次登錄嘗試失敗而導致網站被鎖定時,您插入的電子郵件地址都會收到通知。 默認情況下,插件會在 3 次鎖定後通過電子郵件通知,但您可以通過輸入“1”而不是 3 將其更改為每次鎖定,如下所示。
鎖定通知設置
鎖定通知設置
  • 鎖定設置:在此部分中,您可以進行以下安全修改:
    • 允許重試:這是您可以嘗試登錄網站管理門戶的次數。 這裡插件的默認值是 4,但從安全角度來看,2 或 3 會更好。
    • 分鐘鎖定:這是網站管理門戶無法訪問的持續時間。 我們認為默認值 20 分鐘是合適的,但您也可以根據自己的喜好進行更改。
  • 鎖定會增加鎖定時間:這實質上是指多次鎖定後會發生什麼。 例如,根據插件的默認設置,鎖定 4 次後,鎖定持續時間將從 20 分鐘更改為 24 小時。
  • 重試被重置:您輸入的值將決定在重試被重置之前需要多長時間,用戶可以嘗試再次登錄。
  • 受信任的 IP來源如果您有任何您信任的特定來源,那麼您可以在此處輸入它們,以逗號分隔。 與插件一樣,我們還建議您使用默認的 REMOTE_ADDR 來源,因為其他來源很容易被偽造。
應用設置限制登錄嘗試
應用設置限制登錄嘗試

輸入插件的特定設置後,不要忘記單擊“保存設置”以激活您的配置。

查看日誌

此外,從日誌選項卡,您將能夠查看到目前為止的總鎖定以及手動列出要阻止或安全列表的 IP 或 IP 範圍。

限制登錄嘗試日誌
限制登錄嘗試日誌

觀看插件運行

現在我們已經配置了插件,讓我們看看它是如何工作的。 退出 WordPress 管理門戶,當您進入登錄頁面時,輸入無效的用戶名和密碼以測試插件。 正如您所看到的,該插件清楚地顯示了在站點鎖定您的 IP 地址之前您進行了多少次嘗試。 您將看到類似“剩餘 3 次嘗試”的消息,因為我們已配置為將登錄限制為 3 次無效嘗試。

無效的登錄嘗試
無效的登錄嘗試

如果您繼續輸入錯誤的用戶名或密碼,您將遇到鎖定狀態,如下面的屏幕截圖所示。 在這種情況下,您將無法提交另一個登錄請求,直到鎖定持續時間到期,在這種情況下為 20 分鐘。 事實上,即使您提交了正確的憑據,該插件也不會​​讓您在此鎖定期間登錄。

鎖定登錄嘗試
鎖定登錄嘗試

最後的話

我們強烈建議限制在您的 WordPress 站點中的登錄嘗試,尤其是在您不使用任何註冊功能的情況下。 您可以監控登錄失敗的統計信息以了解攻擊來源。 如果需要,您可以增加鎖定持續時間或永久阻止 IP 地址以提高安全性。 但是,當您讓付費客戶通過默認的 WordPress 登錄表單登錄時,請避免使用太多限制。