Jak ograniczyć próby logowania do WordPress
Opublikowany: 2023-06-22Czy chcesz ograniczyć próby logowania do WordPress, aby zabezpieczyć obszar administracyjny? Ten samouczek pokaże Ci dokładny proces ograniczania prób logowania.
Popularność WordPress jako CMS powoduje również jego podatność na naruszenia bezpieczeństwa, takie jak ataki siłowe i nie tylko. Ponieważ WordPress domyślnie nie ogranicza prób logowania, istnieje jeszcze większe prawdopodobieństwo, że ataki te zakończą się sukcesem i utrudnią działanie Twojej witryny.
Dlatego ważne jest, aby dodać próby logowania na swojej stronie WordPress. Ale ograniczenie tych prób ma więcej korzyści niż unikanie ataków siłowych. Przyjrzyjmy się więc zaletom ograniczania prób logowania w WordPress, zanim przejdziemy do właściwego procesu.
Po co ograniczać próby logowania do WordPress?
Konieczne jest ograniczenie prób logowania do witryny WordPress. Oto kilka powodów, dla których jest to ważne:
- Zapobiegaj atakom Brute-Force: Ataki typu Brute-Force polegają na zautomatyzowanej metodzie prób i błędów polegającej na odgadywaniu wielu kombinacji nazwy użytkownika i hasła. Są one kontynuowane do momentu znalezienia poprawnych poświadczeń. W związku z tym można znacznie zmniejszyć szanse na sukces tych atakujących, ograniczając ich próby logowania.
- Chroń konta użytkowników: Ograniczanie prób logowania jest bardzo ważne, jeśli witryna umożliwia rejestrację użytkowników lub zawiera funkcje członkostwa. Ustanawiasz zabezpieczenie, które pomaga chronić konta użytkowników przed nieautoryzowanym dostępem, nakładając ograniczenia na próby logowania. Zapewnia to ochronę kont użytkowników powiązanych z Twoją witryną WordPress i zwiększa ogólne bezpieczeństwo Twojej witryny.
- Zachowaj wydajność witryny: Atak siłowy może obciążyć zasoby serwera witryny, gdy atakujący próbuje uzyskać dostęp do wielu nazw użytkownika i haseł. Każda nieudana próba logowania wymaga mocy obliczeniowej, pamięci i innych zasobów, co może prowadzić do obniżenia wydajności witryny lub nawet przestojów. Możesz więc zmniejszyć szanse na te próby, które negatywnie wpłyną na wydajność Twojej witryny, ograniczając próby logowania.
- Zwiększ ogólne bezpieczeństwo: Wdrożenie ograniczeń prób logowania to proaktywny środek bezpieczeństwa, który wzmacnia ochronę Twojej witryny WordPress. Dodaje dodatkową warstwę ochrony przed nieautoryzowanym dostępem, w tym inne niezbędne środki bezpieczeństwa, takie jak silne hasła, uwierzytelnianie dwuskładnikowe i regularne aktualizacje. W sumie te środki mogą stworzyć solidny system obrony, który chroni Twoją witrynę przed potencjalnymi zagrożeniami.
W następnej sekcji pokażemy krok po kroku proces ograniczania prób logowania do WordPress za pomocą wtyczki.
Jak ograniczyć próby logowania do WordPress
Najłatwiejszym sposobem ograniczenia prób logowania w WordPress jest użycie wtyczki . Wtyczki zwiększają funkcjonalność i funkcje Twojej witryny, które nie były dostępne w domyślnej instalacji lub motywach WordPress. A ponieważ WordPress domyślnie nie ogranicza prób logowania, będziesz musiał użyć do tego wtyczki.
Wiele wtyczek w WordPress pozwala ograniczyć próby logowania na Twojej stronie internetowej. Ale do tej demonstracji użyjemy wtyczki Limit Login Attempts Reloaded .
Jest to najpopularniejsza wtyczka WordPress zaprojektowana w celu ochrony Twojej witryny przed atakami typu brute-force poprzez ograniczenie prób logowania. Wtyczka ma również prosty interfejs do konfigurowania maksymalnej liczby ponownych prób logowania i czasu trwania blokad. Zapewnia nawet szczegółowe dzienniki, dzięki czemu możesz śledzić każdą próbę logowania i być świadomym wszelkich powiązanych zagrożeń bezpieczeństwa.
Ale aby zacząć korzystać z wtyczki, musisz ją zainstalować i aktywować.
1) Zainstaluj i aktywuj wtyczkę
Najpierw przejdź do Wtyczki > Dodaj nowy z pulpitu nawigacyjnego WordPress i wprowadź słowa kluczowe dla wtyczki. Gdy zobaczysz wtyczkę w wynikach wyszukiwania, kliknij Zainstaluj teraz, aby ją zainstalować.
Instalacja zajmie tylko kilka sekund. Aktywuj wtyczkę zaraz po zakończeniu instalacji.
Możesz także przesłać i zainstalować wtyczkę, jeśli chcesz użyć takiej, której nie ma w oficjalnym repozytorium wtyczek WordPress. Jeśli potrzebujesz pomocy, możesz przejrzeć nasz kompletny przewodnik dotyczący ręcznej instalacji wtyczki WordPress.
2) Ogranicz próby logowania za pomocą ustawień wtyczki
Po aktywacji wtyczki możesz teraz dostosować limit prób logowania do swojej witryny WordPress za pomocą ustawień wtyczki. W tym celu przejdź do Ustawienia> Ogranicz próby logowania i otwórz kartę Ustawienia .
Tutaj możesz zobaczyć ogólne ustawienia wtyczki. Ale pierwszą rzeczą, którą powinieneś zrobić, to przewinąć w dół do sekcji Ustawienia aplikacji , aby ograniczyć próby logowania lub blokady w witrynie WordPress. Blokady odnoszą się do funkcji bezpieczeństwa, która tymczasowo blokuje lub ogranicza dostęp do konta lub systemu po określonej liczbie nieudanych prób logowania.
Wtyczka zawiera kilka opcji blokowania prób logowania. Po pierwsze, możesz dodać liczbę ponownych prób logowania, które chcesz zapewnić swoim użytkownikom w polu liczbowym „ dozwolone ponowne próby ”. Wprowadzona tutaj liczba to limit prób logowania, na które chcesz zezwolić użytkownikom Twojej witryny WordPress.
Podobnie możesz dostosować okres w postaci minut dla blokad, jeśli użytkownik nie wprowadzi poprawnych poświadczeń w ramach dozwolonych ponownych prób. Istnieje również kilka innych opcji blokad, takich jak zwiększenie numeru blokady po pewnym czasie i okres resetowania ponownych prób.
Na koniec możesz także zmienić opcję Trusted IP Origins. Jednak zdecydowanie zaleca się, aby go nie zmieniać i pozostawić bez zmian ze względów bezpieczeństwa. Po wprowadzeniu wszystkich niezbędnych zmian kliknij Zapisz ustawienia .
Następnie będziesz mógł zobaczyć próby logowania, gdy wylogujesz się z pulpitu nawigacyjnego WordPress i spróbujesz zalogować się ponownie, gdy zostanie wprowadzona nieprawidłowa nazwa użytkownika lub hasło. Możesz także otworzyć adres URL logowania w trybie incognito, aby szybko go przetestować. Jeśli spojrzysz na poniższy zrzut ekranu, jest ich tylko 6 z 7, ponieważ pierwsza próba zawierała nieprawidłową nazwę użytkownika lub hasło.
3) Dostosuj dodatkowe ustawienia wtyczki
Możesz także dostosować niektóre dodatkowe ustawienia wtyczek po ustawieniu opcji blokady, aby ograniczyć próby logowania do witryny WordPress. Po prostu przewiń w górę do sekcji Ustawienia ogólne , gdzie pierwszą opcją, którą zobaczysz, jest ustawienie wtyczki jako zgodnej z RODO. Możesz nawet dodać wiadomość RODO, jeśli zaznaczysz tę opcję.
Ponadto wtyczka może powiadamiać Cię po określonej liczbie blokad bezpośrednio na wybrany adres e-mail. Możesz także pokazać lub ukryć element menu najwyższego poziomu, plakietkę ostrzegawczą i widżet pulpitu nawigacyjnego. Pamiętaj jednak, że plakietka ostrzegawcza i element menu najwyższego poziomu będą wyświetlane tylko po ponownym załadowaniu zmian.
Nie zapomnij zapisać zmian po wprowadzeniu wszystkich dodatkowych zmian.
Co więcej, jeśli otworzysz zakładkę Dzienniki , zobaczysz tutaj również całkowitą liczbę blokad. Możesz także odpowiednio dodać adresy IP, zakresy adresów IP lub nazwy użytkowników do obszaru bezpiecznej listy i listy zablokowanych. Ponownie konieczne jest zapisanie tych zmian, aby te adresy IP zaczęły obowiązywać w Twojej witrynie.
Ponadto możesz również wyświetlić przegląd liczby nieudanych prób logowania w ciągu ostatnich 24 godzin z zakładki Pulpit nawigacyjny . Otrzymasz również wykres liczby nieudanych prób logowania wraz z dokładną datą nieudanych prób obok niego. Jeśli chcesz więcej opcji prób logowania, zawsze możesz przejść na wersję premium.
Bonus: jak zmienić adres URL strony logowania WordPress
Jeśli chcesz, aby Twoja witryna była bardziej bezpieczna, aby zmniejszyć ryzyko ataków siłowych , możesz również zmienić adres URL logowania WordPress do swojej witryny. Domyślny adres URL logowania WordPress jest bardzo przewidywalny i prosty. W rezultacie hakerzy mogą łatwo znaleźć adres URL logowania do ataków siłowych.
Możesz łatwo znaleźć stronę logowania do swojej witryny, dodając ścieżkę /wp-admin/ na końcu swojej domeny. Następnie zostaniesz przekierowany na stronę logowania WordPress w swojej witrynie, skąd możesz uzyskać dostęp do pulpitu nawigacyjnego WordPress. Jeśli ścieżka /wp-admin/ nie działa, możesz także wypróbować ścieżkę /wp-login/, /login/ lub /admin/ .
Jak widzisz, Twoja strona logowania jest dostępna dla każdego, kto zna się na projektowaniu i tworzeniu stron internetowych, nawet za niewielką kwotę. Może to prowadzić do dalszych zagrożeń bezpieczeństwa w Twojej witrynie, nawet jeśli ograniczysz próby logowania do WordPress. Dlatego konieczna jest również zmiana adresu URL logowania do witryny WordPress.
Możesz zmienić adres URL logowania do swojej witryny bez żadnych problemów w ciągu zaledwie kilku minut. Podobnie jak w przypadku ograniczania prób logowania, najłatwiejszym sposobem zmiany adresu URL logowania w WordPress jest użycie wtyczki. W tej demonstracji użyjemy wtyczki WPS Hide Login .
1) Zainstaluj i aktywuj wtyczkę
Aby zainstalować wtyczkę, przejdź ponownie do Wtyczki > Dodaj nowy z pulpitu nawigacyjnego WordPress. Następnie wyszukaj słowa kluczowe wtyczki i kliknij Zainstaluj teraz, tak jak w jednym z wcześniej wspomnianych kroków w tym samouczku.
Teraz wszystko, co musisz zrobić, to aktywować wtyczkę.
2) Zmień adres URL strony logowania WordPress
Po aktywacji wtyczki możesz teraz rozpocząć dostosowywanie opcji wtyczki w Ustawieniach > WPS Ukryj login na pulpicie nawigacyjnym WordPress.
Tutaj musisz dostosować dwie opcje:
- URL logowania
- URL przekierowania
W polu Adres URL logowania wprowadź żądaną nową ścieżkę do strony logowania. Dodaliśmy „ newlogin ” dla tego przykładu. Tak więc Twój unikalny adres URL logowania to www.yourdomain.com/newlogin/ .
Należy pamiętać, że po wprowadzeniu tej zmiany będziesz musiał użyć nowego adresu URL, aby uzyskać dostęp do pulpitu administratora WordPress. Tak więc poprzednia ścieżka /wp-admin/ lub jakikolwiek inny adres URL logowania, którego używałeś, nie będzie już mógł uzyskać dostępu do strony logowania. Dlatego konieczne będzie przekierowanie użytkowników ze starego adresu URL logowania na nowy.
W tym miejscu do gry wchodzi adres URL przekierowania . Gdy ktoś wprowadzi starą stronę www.yourdomain.com/wp-admin/ w swojej przeglądarce, zostanie automatycznie przekierowany na adres URL przekierowania.
Ale ponieważ chcemy, aby witryna była bezpieczniejsza po ograniczeniu prób logowania do WordPress, dodaj 404 jako adres URL przekierowania. Dzięki temu użytkownicy będą wiedzieć, że wprowadzona strona internetowa jest niedostępna.
Na koniec zapisz wszystkie zmiany .
Po zaktualizowaniu nowych ustawień WordPress wyświetli ostrzeżenie u góry strony, wskazujące, że strona logowania została zmieniona. Wskazane jest, aby dodać ten link do zakładek i udostępnić go tylko administratorom serwisu.
Jeśli potrzebujesz więcej informacji na temat zmiany adresów URL, możesz również zapoznać się z naszym szczegółowym samouczkiem dotyczącym zmiany adresu URL strony logowania WordPress.
Wskazówka: upewnij się, że hasło logowania jest silne
Podobnie jak dodanie limitu prób logowania do WordPress i zmiana adresu URL logowania, konieczne jest również upewnienie się, że hasło logowania jest solidne i nie można go łatwo odgadnąć. Jeśli go nie masz, możesz go łatwo utworzyć za pomocą pulpitu administratora WordPress. Jako dodatkową wskazówkę poprowadzimy Cię przez proces dodawania silnego hasła do konta logowania WordPress.
Najpierw przejdź do Użytkownicy > Profil z pulpitu nawigacyjnego WordPress i przewiń w dół do sekcji Zarządzanie kontem. Następnie kliknij Ustaw nowe hasło . Automatycznie wygeneruje silne nowe hasło do Twojego profilu użytkownika WordPress.
Upewnij się, że bezpiecznie zapisałeś hasło, kopiując je i wklejając w bezpieczne miejsce do wykorzystania w przyszłości lub odniesienia. Na koniec przewiń w dół strony i kliknij Aktualizuj profil , aby zapisać zmiany.
Wniosek
W ten sposób możesz ograniczyć próby logowania WordPress na swojej stronie internetowej. Ograniczenie prób logowania jest niezbędne, aby dodać dodatkową warstwę bezpieczeństwa do witryny WordPress, a proces ten jest również prosty. Wszystko, co musisz zrobić, to zainstalować wtyczkę, która pozwala ograniczyć próby logowania, a następnie dostosować blokady, a logowanie zostanie odpowiednio wycofane za pomocą ustawień wtyczki.
W zależności od używanej wtyczki masz również dodatkowe opcje dotyczące limitów logowania. Ponadto wtyczka może również udostępniać statystyki i dzienniki prób logowania, jak pokazano w powyższym przykładzie w tym samouczku.
Podobnie, udostępniliśmy Ci również dodatkowy samouczek dotyczący zmiany adresu URL logowania WordPress jako dodatkowego środka bezpieczeństwa. Możesz zmienić adres URL logowania za pomocą dedykowanej wtyczki, podobnie jak ograniczenie prób logowania. Ale upewnij się, że masz solidne hasło logowania do konta użytkownika WordPress, aby zapewnić maksymalne bezpieczeństwo.
Czy możesz teraz ograniczyć próby logowania w witrynie WordPress? Czy kiedykolwiek tego próbowałeś? Daj nam znać w komentarzach.
Tymczasem oto kilka innych artykułów, które mogą okazać się pomocne w dalszym dostosowywaniu witryny WordPress:
- Jak utworzyć tymczasowy login WordPress: 3 metody
- Logowanie WordPress nie działa? Jak to naprawić
- Jak dodać CAPTCHA do logowania WooCommerce