WordPress后台登录保护插件

WordPress的使用量非常大,因此受到互联网上的恶意攻击也就有很多,其中有一种攻击方式就是进入网站后台登录页面,并且使用常见的账号密码登陆。因此我们需要一些保护后台登录的插件或其他方式。

如果后台没有防护措施,被恶意攻击拿到后台的登录账号和密码,拿到了博客控制权就会非常麻烦。因此,登录保护WordPress的后台,对于保护网站来说有重要意义。

WordPress后台登录保护插件

插件:Login LockDown

插件功能简介

Login LockDown插件的主要作用是登录限制,防止多次登录,实验密码。对用户ip做三次限制登录。类似于银行的三次密码输入错误,就会限制该ip一小时内无法访问后台。提供高级安全保护。

登录锁定记录每次失败登录尝试的IP地址和时间戳。如果在短时间内在同一IP范围内检测到超过一定数量的尝试,则将禁用该范围内的所有请求的登录功能。

这有助于防止发现暴力密码。当前,在5分钟内尝试登录失败3次后,该插件默认将IP锁定锁定1小时。可以通过“选项”面板进行修改。管理员可以从面板手动释放锁定的IP范围。

插件开发者描述

插件安装方式

在 WordPress后台的插件>安装插件-右侧搜索插件,搜索 Login LockDown,会看到如下图所示。

WordPress后台登录保护插件

或者到WordPress官网下载:Login LockDown

虽然该插件已经七个月没有更新,但是并不影响使用。而且也有10万以上的安装量。

点击【现在安装】,稍等几分钟之后插件提示安装成功点击【启用】即可。

如果几分钟后提示安装失败,进入选择左侧菜单栏插件>已安装的插件,然后找到Login LockDown点击【启用】。

之后在左侧菜单栏的设置中就可以找到这款插件的设置选项。不过Login LockDown插件比较简单,一般使用默认即可。

Max Login Retries:最大重试登陆次数,默认 3次。

Retry Time Period Restriction(minutes):重试登陆的时间段限制,默认5分钟。

Lockout Length (minutes):锁定时长,默认 60分钟。

这三个选项连起来解释:一个IP地址在5分钟内,如果 3次尝试登录都失败了,插件会锁定该IP地址60分钟,这个IP地址在一小时内无法访问,如果有需求的用户,可以重试登录次数,重试登陆的时间段限制,锁定时长进行修改。

插件:Limit Login Attempts Reloaded

该插件是由Limit Login Attempts插件升级而来,Limit Login Attempts插件原作者已经8年没有更新了,是一款下载量超过100万的爆款插件。喜欢的用户可以到WordPress官网下载。

https://wordpress.org/plugins/limit-login-attempts/,不推荐,不过该插件仍然可以使用。

新款升级插件Limit Login Attempts Reloaded的下载量也有100万以上,所以,之前使用使用的用户可以替换为新款插件:Limit Login Attempts Reloaded。

描述

限制通过正常登录以及使用auth cookie可能进行的登录尝试次数。
默认情况下,WordPress允许通过登录页面或发送特殊Cookie进行无限制的登录尝试。这样可以相对容易地通过蛮力破解密码(或哈希)。
限制登录尝试重载达到指定的重试限制后,Internet地址无法进行进一步尝试,从而使暴力攻击变得困难或不可能。

特征:

  • 限制登录时的重试次数(每个IP)。这是完全可定制的。
  • 以相同的方式限制使用授权cookie登录的尝试次数。
  • 在登录页面上通知用户剩余的重试时间或锁定时间。
  • 可选的日志记录和可选的电子邮件通知。
  • 可以将IP和用户名列入白名单/黑名单。
  • Sucuri网站防火墙兼容性。
  • XMLRPC网关保护。
  • Woocommerce登录页面保护。
  • 多站点兼容性以及额外的MU设置。
  • 符合GDPR。启用此功能后,所有记录的IP都将被混淆(md5散列)。
  • 自定义IP来源支持(Cloudflare,Sucuri等)

从旧的LIMIT LOGIN ATTEMPTS插件升级

  1. 转到网站后端的“插件”部分。
  2. 删除“限制登录尝试”插件。
  3. 安装“限制登录尝试重新加载”插件。

您的所有设置将保持不变!

目前,“限制登录尝试重新加载”插件支持多种语言,但我们欢迎其他任何语言。
帮助我们将限制登录尝试重新加载到更多文化中。

翻译:保加利亚语,巴西葡萄牙语,加泰罗尼亚语,中文(繁体),捷克语,荷兰语,芬兰语,法语,德语,匈牙利语,挪威语,波斯语,罗马尼亚语,俄语,西班牙语,瑞典语,土耳其语

插件仅使用标准操作和过滤器。

基于Johan Eenfeldt的Limit Login Attemps插件的原始代码。

安装

在 WordPress后台的插件>安装插件-右侧搜索插件,搜索 Login LockDown,会看到如下图所示。

WordPress后台登录保护插件

数据库修改小技巧

在文章页面,大多数WordPress模板都会显示作者,作者会带有相应的链接如:域名/author/作者名。

这里的作者名,一般就是登陆名,如果使用WordPress后台的管理员权限,就等于将登陆用户名暴露了出来,这里有一个小技巧。

进入数据库找到wp_users表,然后修改user_nicename字段,上文中作者相对应的链接就是在这里调用,修改之后,后台登录名不变,但现实的URL信息就会更换为新的,从而使登录名和用户名区分,提高网站的安全性。

WordPress后台登录保护插件

文章标题:WordPress后台登录保护插件,本文链接:https://www.siwihs.com/3166.html。未经允许,禁止转载。

发表评论

登录后才能评论

评论列表(1条)

分享本页
返回顶部