通过限制WordPress登录次数预防暴力攻击

虽然WordPress平台本身设计得较为安全,但随着时间的推移,也会出现一些不可预知的漏洞。一种常见的攻击手段便是黑客(无论是人为还是自动化机器人)通过不断尝试不同的用户名和密码组合,强行闯入登录页面。在Wordfence 2016 年的一项调查中,暴力攻击是第二大最常见的攻击类型,这表明限制登录尝试次数确实可以成为保护您免受真实攻击媒介侵害的好办法。

WordPress hacked Rate
WordPress hacked Rate

为了有效防御此类攻击,您可以利用WordPress的插件功能来限制登录尝试次数。通过设定特定IP在一定时间内的最大尝试次数限制,我们能够有效阻止频繁的无效登录尝试,从而提升网站的安全性。

本文将分享一款免费的插件来实现这一安全功能,并深入分析其优劣之处。如果您正在使用Hostease的虚拟主机与WordPress,可以尝试通过,本教程方法来加固您的网站,接下来,就让我们步入正题吧!

第一步:安装“Limit Login Attempts Reloaded”插件

有很多的插件可以用于限制登录尝试次数,个人比较推荐但我们推荐 Limit Login Attempts Reloaded 插件,原因如下:

  • 它提供免费的基础版本。
  • 使用广泛——根据WordPress.org的数据,已有超过200万个站点活跃安装。
  • 用户评价高,评分达到了98%。
  • 操作界面友好,易于上手。

安装并激活 Limit Login Attempts Reloaded 插件,你还可以在插件的面板上查看到过去 24 小时内的总失败登录尝试次数。

Limit Login Attempts Reloaded
Limit Login Attempts Reloaded

第二步:自定义插件设置

转到插件下的“Settings”选项卡下

首先,前往“设置”区域,建议勾选的“GDPR compliance”选项,这将在你的 WordPress 管理登录页面上显示一条安全消息,保持透明性。同时,建议勾选“Notify on lockout”功能,这样,每当有人多次尝试并失败登录时,你都会收到电子邮件通知,而“过多登录尝试”的阈值您可以自己设置。

Limit Login Attempts Reloaded Settings
Limit Login Attempts Reloaded Settings

在下方的“Local App”中可以调整登录限制规则,

在此之下的“本地应用”部分让你可以微调登录尝试的规则,包括设置允许的尝试次数、在多次失败尝试后用户被锁定的时间以及为持续违规者指定的锁定持续时间和增加锁定次数。

如果你不确定应该使用什么设置,可以使用默认数值。

要测试插件是否正常工作,只需访问你的网站登录页面并输入错误的登录信息,如果插件正常工作,您就可以看到错误提示显示您输入了错误的登录信息以及剩余的可尝试次数,与此同时,你也会收到一封电子邮件。当然,你也可以在仪表板上查看登录失败的次数。

限制登录尝试的好处是什么?

并非所有的安全技术都适合每个网站,这种技术也有潜在的优点和缺点。让我们来看看限制登录尝试的好处:

  • 防止人类和自动化机器人暴力破解密码。
  • 临时锁定通常足以阻止攻击,因为黑客或机器人会转向下一个目标。
  • 正常用户只需要一次登录尝试,或者如果他们忘记或输入错误,也只需要几次尝试。

实施限制登录尝试的插件也要考虑以下缺点:

  • 需要多安装一个插件,部分网站所有人可能并不希望网站上有过多的插件。
  • 偶尔会有真正的用户因登录问题而被锁定。

结论

尽管不是绝对必需,但安装一款限制登录尝试次数的插件无疑是加强WordPress网站安全性的明智之举,它仅需少量时间投入,即可有效抵御暴力破解攻击。

对于那些不希望安装过多插件影响网站运行效果的用户来说,Hostease也推荐使用的CodeGuardSitelock服务。

CodeGuard是一款网站云备份服务,您可以自行制定备份周期和备份保存时长,支持一键还原,无论您的网站遇到什么问题,都可以通过一键还原到指定时间的备份来恢复网站,对于那些没有太多时间来维护网站安全的用户来说是十分不错的选择。

Sitelock是一款安全保护工具,可以对网站进行日常的安全扫描,并提供修复方案,对于新手来说,可以解决90%以上的程序问题。

发表评论