WordPress的使用量非常大,因此受到互联网上的恶意攻击也就有很多,其中有一种攻击方式就是进入网站后台登录页面,并且使用常见的账号密码登陆。因此我们需要一些保护后台登录的插件或其他方式。
如果后台没有防护措施,被恶意攻击拿到后台的登录账号和密码,拿到了博客控制权就会非常麻烦。因此,登录保护WordPress的后台,对于保护网站来说有重要意义。
插件:Login LockDown
插件功能简介
Login LockDown插件的主要作用是登录限制,防止多次登录,实验密码。对用户ip做三次限制登录。类似于银行的三次密码输入错误,就会限制该ip一小时内无法访问后台。提供高级安全保护。
登录锁定记录每次失败登录尝试的IP地址和时间戳。如果在短时间内在同一IP范围内检测到超过一定数量的尝试,则将禁用该范围内的所有请求的登录功能。
这有助于防止发现暴力密码。当前,在5分钟内尝试登录失败3次后,该插件默认将IP锁定锁定1小时。可以通过“选项”面板进行修改。管理员可以从面板手动释放锁定的IP范围。
插件开发者描述
插件安装方式
在 WordPress后台的插件>安装插件-右侧搜索插件,搜索 Login LockDown,会看到如下图所示。
或者到WordPress官网下载:Login LockDown
虽然该插件已经七个月没有更新,但是并不影响使用。而且也有10万以上的安装量。
点击【现在安装】,稍等几分钟之后插件提示安装成功点击【启用】即可。
如果几分钟后提示安装失败,进入选择左侧菜单栏插件>已安装的插件,然后找到Login LockDown点击【启用】。
之后在左侧菜单栏的设置中就可以找到这款插件的设置选项。不过Login LockDown插件比较简单,一般使用默认即可。
Max Login Retries:最大重试登陆次数,默认 3次。
Retry Time Period Restriction(minutes):重试登陆的时间段限制,默认5分钟。
Lockout Length (minutes):锁定时长,默认 60分钟。
这三个选项连起来解释:一个IP地址在5分钟内,如果 3次尝试登录都失败了,插件会锁定该IP地址60分钟,这个IP地址在一小时内无法访问,如果有需求的用户,可以重试登录次数,重试登陆的时间段限制,锁定时长进行修改。
其余的选项如果看不懂,最好不要修改。
插件:Limit Login Attempts Reloaded
该插件是由Limit Login Attempts插件升级而来,Limit Login Attempts插件原作者已经8年没有更新了,是一款下载量超过100万的爆款插件。喜欢的用户可以到WordPress官网下载。
https://wordpress.org/plugins/limit-login-attempts/,不推荐,不过该插件仍然可以使用。
新款升级插件Limit Login Attempts Reloaded的下载量也有100万以上,所以,之前使用使用的用户可以替换为新款插件:Limit Login Attempts Reloaded。
描述
限制通过正常登录以及使用auth cookie可能进行的登录尝试次数。
默认情况下,WordPress允许通过登录页面或发送特殊Cookie进行无限制的登录尝试。这样可以相对容易地通过蛮力破解密码(或哈希)。
限制登录尝试重载达到指定的重试限制后,Internet地址无法进行进一步尝试,从而使暴力攻击变得困难或不可能。
特征:
- 限制登录时的重试次数(每个IP)。这是完全可定制的。
- 以相同的方式限制使用授权cookie登录的尝试次数。
- 在登录页面上通知用户剩余的重试时间或锁定时间。
- 可选的日志记录和可选的电子邮件通知。
- 可以将IP和用户名列入白名单/黑名单。
- Sucuri网站防火墙兼容性。
- XMLRPC网关保护。
- Woocommerce登录页面保护。
- 多站点兼容性以及额外的MU设置。
- 符合GDPR。启用此功能后,所有记录的IP都将被混淆(md5散列)。
- 自定义IP来源支持(Cloudflare,Sucuri等)
从旧的LIMIT LOGIN ATTEMPTS插件升级
- 转到网站后端的“插件”部分。
- 删除“限制登录尝试”插件。
- 安装“限制登录尝试重新加载”插件。
您的所有设置将保持不变!
目前,“限制登录尝试重新加载”插件支持多种语言,但我们欢迎其他任何语言。
帮助我们将限制登录尝试重新加载到更多文化中。
翻译:保加利亚语,巴西葡萄牙语,加泰罗尼亚语,中文(繁体),捷克语,荷兰语,芬兰语,法语,德语,匈牙利语,挪威语,波斯语,罗马尼亚语,俄语,西班牙语,瑞典语,土耳其语
插件仅使用标准操作和过滤器。
基于Johan Eenfeldt的Limit Login Attemps插件的原始代码。
安装
在 WordPress后台的插件>安装插件-右侧搜索插件,搜索 Login LockDown,会看到如下图所示。
数据库修改小技巧
在文章页面,大多数WordPress模板都会显示作者,作者会带有相应的链接如:域名/author/作者名。
这里的作者名,一般就是登陆名,如果使用WordPress后台的管理员权限,就等于将登陆用户名暴露了出来,这里有一个小技巧。
进入数据库找到wp_users表,然后修改user_nicename字段,上文中作者相对应的链接就是在这里调用,修改之后,后台登录名不变,但现实的URL信息就会更换为新的,从而使登录名和用户名区分,提高网站的安全性。
和使用安全插件并不冲突,既可选择一款插件,然后在使用该技巧。
文章标题:WordPress后台登录保护插件,本文链接:https://www.siwihs.com/3166.html。未经允许,禁止转载。
评论列表(1条)
[…] 还有一些其他的工具来限制登录尝试,如我前几天提到的一篇文章:WordPress后台登录保护插件中就介绍了两张后台登录保护插件。 […]