最后更新于 6 月 20, 2024 by 热罗姆-克维尔

在 WordPress 中限制登录尝试对于提高网站的安全性至关重要。下面是如何实现这一功能的分步指南：

虽然 WordPress 本身是一个安全的平台，但这并不能使您的网站免受入侵。最常见的攻击之一是人类或僵尸黑客尝试通过登录页面强行进入，他们会尝试各种用户名和密码组合，直到某个组合成功为止。为了防止他们得逞，您可以使用 WordPress 插件来限制登录尝试。

通过限制特定 IP 在一定时间内的尝试次数，可以阻止过多的访问尝试，从而提高安全性。

本文章将指导您使用免费插件设置这一安全功能，并讨论其优缺点。让我们深入了解！

1.使用安全插件

限制登录尝试的最简单方法之一是使用安全插件。插件如 WordfenceiThemes Security 或 Limit Login Attempts Reloaded 提供了强大的功能来保护您的网站。

步骤：

• 安装并激活您选择的插件。
• 导航至插件设置。
• 根据您的偏好配置登录尝试限制（例如，在三次尝试失败后阻止一个 IP）。

例如 安装"重新加载登录尝试限制"插件

对于大多数用户来说，WordPress 限制登录尝试插件是限制登录尝试的最佳选择。有几种优质插件可供选择，但我们推荐免费的限制登录尝试重装插件，因为它

• 它提供免费版本。
• 受欢迎 - 据统计，活跃在 200 多万个网站上 WordPress.org.
• 评级良好 - 98%。
• 易于使用。

插件激活后，您可以打开它，并进入插件的仪表板。在这里你可以看到一个全面的概览，包括过去 24 小时内登录失败的总次数和一个设置面板。

第 2 步：自定义插件设置

首先，请访问"设置"区域。最好先选择"遵守 GDPR"复选框。这将在 WordPress 管理员登录页面上显示一条安全信息，保持透明。此外，还可以考虑激活"锁定时发出通知"功能。这样，每当有人尝试登录但失败次数过多时，您就会收到电子邮件通知，"登录尝试次数过多 "的阈值完全由您决定。

下面是"本地应用程序通过 "登录尝试 "部分，您可以对登录尝试的规则进行微调，包括设置锁定前允许的尝试次数、多次尝试失败后用户被锁定的持续时间，以及指定锁定屡犯者的持续时间和锁定次数。

如果您不确定正确的设置是什么，可以放心地使用默认值。

无需调整"...... "中的数据。可信的 IP 起源"字段，然后点击"保存设置".要测试插件是否有效，只需进入网站的登录页面并输入错误的登录信息。系统将显示一条信息，说明输入了错误的登录凭证，以及您还剩下多少次尝试。此外，还会向您的电子邮箱发送一封电子邮件，告知您尝试失败。当然，您也可以随时在仪表板上查看登录失败情况：

限制登录尝试有什么好处？

并不是所有的安全技术都适合每一个网站，这种技术确实有潜在的优点和缺点。让我们来看看限制登录尝试的好处：

• 它可以防止人类和自动机器人尝试数百（或数千）个用户名/密码组合，直到找到正确的组合。
• 临时锁定往往足以阻止攻击，因为黑客或机器人会转移到下一个可能的目标。
• 大多数合法用户只需尝试登录一次，如果忘记或误输凭据，则可能需要登录几次。

缺点是什么？

实施 wordpress插件 限制登录尝试并非没有挑战。请考虑以下缺点：

• 为网站添加插件。虽然该插件非常轻量级，但这可能会让希望减少插件数量（出于安全或性能原因）的网站所有者望而却步。
• 当然，这样做的缺点是，偶尔会有真正的用户在登录时遇到困难而被锁定。

2.配置 .htaccess 文件

对于擅长编码并能访问服务器文件系统的用户来说，修改 .htaccess 文件是限制登录尝试和保护您的 WordPress 网站 免受暴力攻击。"... .htaccess 文件是一个强大的 配置文件 来控制各种服务器设置，包括安全配置。以下是如何配置服务器的详细指南。 .htaccess 文件来限制登录尝试：

修改 .htaccess 文件的步骤：

1.访问网站文件

• 使用 FTP 客户端：
  • 下载并安装 FTP 客户端（如 FileZilla）。
  • 使用 FTP 凭据连接到网站服务器。
  • 导航到 WordPress 安装的根目录，通常名为 public_html 或类似内容。
• 使用主机控制面板：
  • 登录虚拟主机控制面板（如 cPanel）。
  • 使用文件管理器工具导航到 WordPress 网站的根目录。

2.备份 .htaccess 文件

在进行任何更改之前，务必备份您当前的 .htaccess 文件，确保出错时可以恢复。

• 下载 .htaccess 使用 FTP 客户端或主机控制面板的文件管理器将文件传输到本地计算机。

3.编辑 .htaccess 文件

打开 .htaccess 文件的文本编辑器（如 Notepad++ 或主机控制面板中的内置编辑器）。

4.添加限制登录尝试的代码

将以下代码段添加到 .htaccess 文件来限制登录尝试：

<IfModule mod_rewrite.c>
重写引擎 关于
重写基础 /
RewriteCond %{ 请求方法｝ 职位
RewriteCond %{request_uri} ^(.*)?wp-login\.php(.*)$
RewriteCond %{remote_addr} !^123\.456\.789\.000$
RewriteCond %{remote_addr} !^111\.222\.333\.444$
RewriteCond %{remote_addr} !^555\.666\.777\.888$
重写规则 ^(.*)$ - [女、男]
</IfModule>

守则解释：

• RewriteEngine 开启： 启用运行时重写引擎。
• RewriteBase /:为每个目录重写设置基础 URL。
• RewriteCond %{REQUEST_METHOD}POST： 仅将规则应用于 POST 请求（用于登录尝试）。
• RewriteCond %{REQUEST_URI}^(.)?wp-login.php(.)$: 该规则适用于 wp-login.php 锉刀
• RewriteCond %{REMOTE_ADDR} !^123.456.789.000$.!^123.456.789.000$: 将特定 IP 地址排除在规则之外。替换 123.456.789.000 的 IP 地址。添加尽可能多的 RewriteCond 根据需要为每个允许的 IP 设置行数。
• RewriteRule ^(.*)$ - [F,L]： 拒绝访问（返回 403 Forbidden 状态）并停止处理其他规则。

5.保存并上传文件

• 将更改保存到 .htaccess 锉刀
• 使用 FTP 客户端将修改后的文件上传回服务器，或使用主机控制面板的编辑器直接保存。

6.测试更改

• 尝试从一个不允许的 IP 地址登录 WordPress 网站，以确保该规则工作正常。您应该会收到 403 Forbidden 错误。
• 验证是否仍可从允许的 IP 地址登录。

其他提示：

• 白名单您的 IP： 始终确保您的 IP 地址在 .htaccess 文件，以防止将自己锁在门外。
• 动态 IP 地址： 如果你的 IP 地址经常变化，请考虑使用具有静态 IP 的 VPN 或 DynDNS 等服务来保持访问。
• 定期更新： 定期审查和更新 .htaccess 文件，以确保它符合您的安全要求。 需求，并适应 IP 地址的任何变化。

修改 .htaccess 限制登录尝试的文件是增强 WordPress 网站安全性的一种强大而灵活的方法。虽然它需要一些技术知识，但过程简单明了，并能提供额外的保护层，防止未经授权的访问尝试。请务必记住备份您的 .htaccess 文件，并进行全面测试，以确保授权用户仍可访问您的网站。

 

结论

尽管没有严格的要求，但选择安装插件来限制登录尝试是保护 WordPress 网站的明智、主动的一步。您只需投入少量时间，就能使您的网站抵御暴力攻击--这是针对 WordPress 庞大用户群的黑客最喜欢使用的手段。

此外，修改 .htaccess 限制登录尝试的文件是增强网站安全性的一种强大而灵活的方法。虽然这种方法需要一定的技术知识，但过程简单明了，可为未经授权的访问尝试提供额外的保护。切记备份您的 .htaccess 文件，并进行全面测试，以确保授权用户仍可访问您的网站。将这两种方法结合起来--使用插件和配置 .htaccess 文件可为您的 WordPress 网站提供全面的安全保护。