最后更新于 6 月 20, 2024 by 热罗姆-克维尔
在 WordPress 中限制登录尝试对于提高网站的安全性至关重要。下面是如何实现这一功能的分步指南:
虽然 WordPress 本身是一个安全的平台,但这并不能使您的网站免受入侵。最常见的攻击之一是人类或僵尸黑客尝试通过登录页面强行进入,他们会尝试各种用户名和密码组合,直到某个组合成功为止。为了防止他们得逞,您可以使用 WordPress 插件来限制登录尝试。
通过限制特定 IP 在一定时间内的尝试次数,可以阻止过多的访问尝试,从而提高安全性。
本文章将指导您使用免费插件设置这一安全功能,并讨论其优缺点。让我们深入了解!
1.使用安全插件
限制登录尝试的最简单方法之一是使用安全插件。插件如 WordfenceiThemes Security 或 Limit Login Attempts Reloaded 提供了强大的功能来保护您的网站。
步骤:
- 安装并激活您选择的插件。
- 导航至插件设置。
- 根据您的偏好配置登录尝试限制(例如,在三次尝试失败后阻止一个 IP)。
例如 安装"重新加载登录尝试限制"插件
对于大多数用户来说,WordPress 限制登录尝试插件是限制登录尝试的最佳选择。有几种优质插件可供选择,但我们推荐免费的限制登录尝试重装插件,因为它
- 它提供免费版本。
- 受欢迎 - 据统计,活跃在 200 多万个网站上 WordPress.org.
- 评级良好 - 98%。
- 易于使用。
插件激活后,您可以打开它,并进入插件的仪表板。在这里你可以看到一个全面的概览,包括过去 24 小时内登录失败的总次数和一个设置面板。
第 2 步:自定义插件设置
首先,请访问"设置"区域。最好先选择"遵守 GDPR"复选框。这将在 WordPress 管理员登录页面上显示一条安全信息,保持透明。此外,还可以考虑激活"锁定时发出通知"功能。这样,每当有人尝试登录但失败次数过多时,您就会收到电子邮件通知,"登录尝试次数过多 "的阈值完全由您决定。
下面是"本地应用程序通过 "登录尝试 "部分,您可以对登录尝试的规则进行微调,包括设置锁定前允许的尝试次数、多次尝试失败后用户被锁定的持续时间,以及指定锁定屡犯者的持续时间和锁定次数。
如果您不确定正确的设置是什么,可以放心地使用默认值。
无需调整"...... "中的数据。可信的 IP 起源"字段,然后点击"保存设置".要测试插件是否有效,只需进入网站的登录页面并输入错误的登录信息。系统将显示一条信息,说明输入了错误的登录凭证,以及您还剩下多少次尝试。此外,还会向您的电子邮箱发送一封电子邮件,告知您尝试失败。当然,您也可以随时在仪表板上查看登录失败情况:
限制登录尝试有什么好处?
并不是所有的安全技术都适合每一个网站,这种技术确实有潜在的优点和缺点。让我们来看看限制登录尝试的好处:
- 它可以防止人类和自动机器人尝试数百(或数千)个用户名/密码组合,直到找到正确的组合。
- 临时锁定往往足以阻止攻击,因为黑客或机器人会转移到下一个可能的目标。
- 大多数合法用户只需尝试登录一次,如果忘记或误输凭据,则可能需要登录几次。
缺点是什么?
实施 wordpress插件 限制登录尝试并非没有挑战。请考虑以下缺点:
- 为网站添加插件。虽然该插件非常轻量级,但这可能会让希望减少插件数量(出于安全或性能原因)的网站所有者望而却步。
- 当然,这样做的缺点是,偶尔会有真正的用户在登录时遇到困难而被锁定。
2.配置 .htaccess 文件
对于擅长编码并能访问服务器文件系统的用户来说,修改 .htaccess
文件是限制登录尝试和保护您的 WordPress 网站 免受暴力攻击。"... .htaccess
文件是一个强大的 配置文件 来控制各种服务器设置,包括安全配置。以下是如何配置服务器的详细指南。 .htaccess
文件来限制登录尝试:
修改 .htaccess 文件的步骤:
1.访问网站文件
- 使用 FTP 客户端:
- 下载并安装 FTP 客户端(如 FileZilla)。
- 使用 FTP 凭据连接到网站服务器。
- 导航到 WordPress 安装的根目录,通常名为
public_html
或类似内容。
- 使用主机控制面板:
- 登录虚拟主机控制面板(如 cPanel)。
- 使用文件管理器工具导航到 WordPress 网站的根目录。
2.备份 .htaccess 文件
在进行任何更改之前,务必备份您当前的 .htaccess
文件,确保出错时可以恢复。
- 下载
.htaccess
使用 FTP 客户端或主机控制面板的文件管理器将文件传输到本地计算机。
3.编辑 .htaccess 文件
打开 .htaccess
文件的文本编辑器(如 Notepad++ 或主机控制面板中的内置编辑器)。
4.添加限制登录尝试的代码
将以下代码段添加到 .htaccess
文件来限制登录尝试:
<IfModule mod_rewrite.c>
重写引擎 关于
重写基础 /
RewriteCond %{ 请求方法} 职位
RewriteCond %{request_uri} ^(.*)?wp-login\.php(.*)$
RewriteCond %{remote_addr} !^123\.456\.789\.000$
RewriteCond %{remote_addr} !^111\.222\.333\.444$
RewriteCond %{remote_addr} !^555\.666\.777\.888$
重写规则 ^(.*)$ - [女、男]
</IfModule>
守则解释:
- RewriteEngine 开启: 启用运行时重写引擎。
- RewriteBase /:为每个目录重写设置基础 URL。
- RewriteCond %{REQUEST_METHOD}POST: 仅将规则应用于 POST 请求(用于登录尝试)。
- RewriteCond %{REQUEST_URI}^(.)?wp-login.php(.)$: 该规则适用于
wp-login.php
锉刀 - RewriteCond %{REMOTE_ADDR} !^123.456.789.000$.!^123.456.789.000$: 将特定 IP 地址排除在规则之外。替换
123.456.789.000
的 IP 地址。添加尽可能多的RewriteCond
根据需要为每个允许的 IP 设置行数。 - RewriteRule ^(.*)$ - [F,L]: 拒绝访问(返回 403 Forbidden 状态)并停止处理其他规则。
5.保存并上传文件
- 将更改保存到
.htaccess
锉刀 - 使用 FTP 客户端将修改后的文件上传回服务器,或使用主机控制面板的编辑器直接保存。
6.测试更改
- 尝试从一个不允许的 IP 地址登录 WordPress 网站,以确保该规则工作正常。您应该会收到 403 Forbidden 错误。
- 验证是否仍可从允许的 IP 地址登录。
其他提示:
- 白名单您的 IP: 始终确保您的 IP 地址在
.htaccess
文件,以防止将自己锁在门外。 - 动态 IP 地址: 如果你的 IP 地址经常变化,请考虑使用具有静态 IP 的 VPN 或 DynDNS 等服务来保持访问。
- 定期更新: 定期审查和更新 .htaccess 文件,以确保它符合您的安全要求。 需求,并适应 IP 地址的任何变化。
修改 .htaccess
限制登录尝试的文件是增强 WordPress 网站安全性的一种强大而灵活的方法。虽然它需要一些技术知识,但过程简单明了,并能提供额外的保护层,防止未经授权的访问尝试。请务必记住备份您的 .htaccess
文件,并进行全面测试,以确保授权用户仍可访问您的网站。
结论
尽管没有严格的要求,但选择安装插件来限制登录尝试是保护 WordPress 网站的明智、主动的一步。您只需投入少量时间,就能使您的网站抵御暴力攻击--这是针对 WordPress 庞大用户群的黑客最喜欢使用的手段。
此外,修改 .htaccess
限制登录尝试的文件是增强网站安全性的一种强大而灵活的方法。虽然这种方法需要一定的技术知识,但过程简单明了,可为未经授权的访问尝试提供额外的保护。切记备份您的 .htaccess
文件,并进行全面测试,以确保授权用户仍可访问您的网站。将这两种方法结合起来--使用插件和配置 .htaccess
文件可为您的 WordPress 网站提供全面的安全保护。