https://www.enginethemes.com/limit-login-attempts/
作者:My Dang,EngineThemes 编辑
所有在线的东西都有被黑客攻击的风险。WordPress 也不例外,因为与其他平台相比,WordPress 的受欢迎程度更高,这使得 WordPress 成为黑客的共同目标之一。不要等到你的网站被黑了才开始关注网站的安全性。
在本文中,我将向您展示为什么以及如何限制登录尝试以保护您的站点免受暴力攻击。
为什么需要限制登录尝试?
默认情况下,WordPress 不限制用户名和密码重试次数。任何人都可以多次尝试登录。这种 “设计缺陷” 为暴力攻击创造了良好的条件。
这种攻击方法的工作原理很简单:不断尝试不同的用户名和密码组合,直到成功登录,然后攻击者就可以访问到后台(一定是坏事)。
因此,虽然更改 “admin” 用户名并使用强密码是必不可少的,但这还不够。为了有效地减轻暴力攻击以对您的站点造成混乱,建议您对来自给定 IP 地址的登录尝试次数设置限制。此外,此方法还可以帮助您识别需要永久禁止从您的网站禁用的 IP 地址。
如何在网站上设置登录限制?
别担心, 您不必自己解决它。Login LockDown 插件可以为您解决这个问题。
别看它” 尚未在最新版本的 WordPress 中测试”,它的代码依旧健壮且完全可用,不必担心兼容性问题。
安装好之后,进入 “设置→Login LockDown” 开始设置该插件:
- Max Login Retries——最大尝试次数:超过该次数将会触发锁定。
- Retry Time Period Restriction (minutes)——重试时间限制:在一定时间内,若登录次数超过最大尝试次数则会触发锁定。单位为分钟。
- Lockout Length (minutes)——锁定长度:顾名思义,用户必须等待一段时间才能再次尝试。在锁定期间任何登录尝试都将失效,锁定是基于 IP 地址的,所以不用担心 “攻击者触发了锁定导致自己无法登录” 的情况。单位为分钟。
- Lockout Invalid Usernames?——锁定无效的用户名?:若选择 “Yes”:填入不存在的用户名也会触发锁定。
- Mask Login Errors?——掩盖登录错误?:若选择 “Yes”:隐藏登录失败信息,更隐蔽。
- Show Credit Link?——显示鸣谢链接?:推荐选择 “No”。
最后按 “Update Settings” 按钮即可。
这个插件是怎么工作的?
如果 有某个相同 IP 地址 在一定时间内 检测到超过指定次数的尝试,则禁用该 IP 的登录功能。
结束语
如果网站包含大量的重要数据,那么是时候把 WordPress 安全放在首位了。
同样,没有一种方法可以 100% 保护您的网站免受黑客攻击。但是你今天所做的每一件小事在将来都很重要!