WordPress Limitare încercări de conectare: Cum se face?
Publicat: 2023-04-19Ești îngrijorat de faptul că hackerii încearcă să se autentifice pe site-ul tău WordPress? Ai dreptate să fii.
Hackerii folosesc metode de încercare și eroare pentru a ghici acreditările de conectare și pentru a pătrunde în site-urile WordPress. De fapt, pe un site WordPress, pagina de autentificare WordPress este cea mai atacată pagină.
Odată ce un hacker intră în zona tabloului de bord administrativ, acesta poate prelua controlul deplin asupra site-ului dvs. Aceștia vor instala programe malware, vor denatura site-ul, vor face publicitate și vinde produse ilegale, vor fura informațiile personale ale utilizatorului, vor trimite spam vizitatorilor site-ului și vor executa alte activități rău intenționate.
Din fericire, vă puteți proteja pagina de autentificare limitând numărul de încercări de autentificare acordate unui utilizator pentru a introduce acreditările corecte. În acest ghid, vă vom arăta cum să configurați limitarea încercărilor de conectare pe un site WordPress.
TL;DR: Limitând încercările de conectare pe site-ul dvs. WordPress, puteți împiedica hackerii să încerce să pătrundă pe site-ul dvs. Cea mai simplă și eficientă modalitate de a activa această funcție pe site-ul dvs. este utilizarea unui plugin. Instalați MalCare pe site-ul dvs. Vine cu firewall și protecție de conectare. Acest lucru vă protejează site-ul împotriva atacurilor cu forță brută.
Ce este WordPress Limitare încercări de conectare?
În mod implicit, WordPress acordă încercări nelimitate de a vă autentifica pe site-ul dvs. Puteți încerca câte combinații de nume de utilizator și parole doriți.
Hackerii sunt conștienți de acest lucru și exploatează această setare. În primul rând, ei compilează o bază de date cu nume de utilizator și parole utilizate în mod obișnuit, împreună cu datele furate sau date cumpărate. Apoi, programează roboți să viziteze site-urile WordPress și să încerce mii de combinații de nume de utilizator și parole în mai puțin de câteva minute.
Procedând astfel, hackerii pot pătrunde în multe site-uri WordPress. Acest lucru se numește un atac de forță brută , deoarece vă blochează site-ul cu mii de solicitări de conectare în câteva minute.
Folosind această metodă de hacking, hackerii au o rată de succes bună (aproximativ 10%) datorită în mare parte faptului că utilizatorii WordPress tind să seteze acreditări slabe de conectare. În timp ce 10% pare un număr scăzut, dat fiind faptul că există milioane de site-uri WordPress, acestea pot sparge mii de site-uri în cel mai scurt timp.
Prin limitarea numărului de încercări de conectare, puteți opri hackerii și roboții lor pe calea lor.
Un utilizator i se va acorda un număr limitat de ori pentru a introduce datele de conectare corecte. De exemplu, puteți acorda trei încercări. Dacă utilizatorul nu reușește să introducă acreditările corecte de trei ori, acesta va fi blocat din contul său.
Li se vor prezenta opțiuni pentru a-și recupera datele de conectare, cum ar fi:
- Contactați administratorul.
- Utilizați opțiunea „am uitat parola” pentru a reseta parola răspunzând la un set de întrebări.
- Dovediți-le identitatea prin verificarea OTP sau prin verificarea prin e-mail.
- Rezolvați un captcha pentru a demonstra că sunt oameni și nu un bot.
Odată ce un bot încearcă să se conecteze de trei ori, se va confrunta cu aceste obstacole. Ei nu vor putea continua și vor trece la următoarea țintă.
Prin urmare, această măsură de securitate vă poate proteja site-ul de hackeri și poate preveni o lume de necazuri. În continuare, vă vom arăta cum să configurați limitarea încercărilor de conectare pe WordPress
Cum să limitați încercările de conectare pe site-ul dvs. WordPress?
Există două moduri de a limita încercările de conectare pe site-ul dvs. WordPress:
- Utilizarea unui plugin (ușor)
- Manual (greu)
Vă vom arăta mai întâi cum să utilizați un plugin, deoarece este simplu, rapid și fără riscuri de erori.
1. Limitați încercările de conectare folosind un plugin
Există mai multe plugin-uri care permit conectări limitate pe site-ul dvs. WordPress. Deci, cum o alegi pe cea potrivită?
Căutați un plugin care este ușor de configurat și care va automatiza procesul pentru dvs. De asemenea, asigurați-vă că pluginul dvs. oferă un raport despre încercările pe care le-a blocat, astfel încât să puteți vedea dacă pluginul funcționează efectiv.
Am selectat Pluginul de securitate MalCare pentru a ilustra cum să limitați încercările de conectare pe site-ul dvs. Îndeplinește cerințele enumerate mai sus. De asemenea, depășește doar limitarea încercărilor de conectare și vă păstrează site-ul web protejat în orice moment.
Cu MalCare, site-ul dvs. web va avea limite de încercări de conectare bazate pe CAPTCHA. Aceasta înseamnă că, dacă un utilizator introduce acreditările greșite de mai mult de zece ori, i se va cere să rezolve un CAPTCHA.
După rezolvarea CAPTCHA, utilizatorul poate încerca să se autentifice din nou. Sau pot folosi Parola uitată? opțiunea de a-și recupera acreditările.
Sa incepem:
Pasul 1: Instalați MalCare pe site-ul dvs. Activați pluginul și accesați-l din tabloul de bord WordPress.
Pasul 2: Introduceți adresa dvs. de e-mail și selectați Secure Site Now.
Pasul 3: MalCare vă va redirecționa către tabloul de bord independent unde va rula automat o scanare pe site-ul dvs.
Pasul 4: încercările limitate de conectare sunt activate automat pe site-ul dvs. Acum, trebuie să vă întrebați cum folosesc WordPress limitează încercările de conectare?
Dacă încercați să vă conectați cu acreditările greșite, veți fi blocat să încercați din nou.
Când selectați Faceți clic aici, vi se va prezenta un CAPTCHA astfel:
După rezolvarea CAPTCHA, vă puteți conecta din nou la site-ul dvs. În cazul în care nu vă puteți aminti datele de conectare, puteți utiliza opțiunea V-ați pierdut parola? opțiune.
Asta este. Ați limitat cu succes încercările de conectare pe site-ul dvs. web. În afară de aceasta, MalCare ridică, de asemenea, un firewall robust pentru a împiedica accesul oricăror roboți răi sau trafic rău intenționat de la site-ul dvs. Vă oferă un raport al tuturor încercărilor de conectare. Puteți accesa aceasta pe tabloul de bord:
Puteți vedea încercările eșuate și încercările de conectare reușite. De asemenea, le puteți vedea pe cele pe care MalCare le-a identificat ca fiind suspecte și blocate automat.
Acum, dacă un plugin WordPress nu este metoda potrivită pentru dvs., am detaliat cum puteți implementa încercările de autentificare pentru limitarea WordPress fără un plugin. Dar această metodă este complexă și predispusă la erori, așa că procedați cu prudență.
2. Limitați manual încercările de conectare
Puteți adăuga protecție limitată de conectare la site-ul dvs. inserând manual un fragment de cod într-un fișier WordPress de pe site-ul dvs. Cu toate acestea, trebuie să vă avertizăm că de fiecare dată când faceți o modificare manuală a unui fișier WordPress, riscați să vă spargeți site-ul web . Cele mai mici erori duc la mari probleme.
Dacă doriți să continuați cu această metodă, vă recomandăm insistent să faceți o copie de rezervă completă a site-ului dvs. În cazul în care ceva nu merge bine, puteți să restaurați rapid copia de rezervă și să vă readuceți site-ul la normal. Puteți face o copie de rezervă cu ușurință instalând pluginul de rezervă BlogVault pe site-ul dvs. sau alegeți unul dintre cele mai bune pluginuri de rezervă.
După ce aveți o copie de rezervă, urmați pașii de mai jos:
Pasul 1: Conectați-vă la contul dvs. de găzduire și accesați cPanelul. Aici, selectați File Manager.
Pasul 2: deschideți folderul public_html (sau folderul în care se află site-ul dvs.). Accesați wp-content > Teme.
Pasul 3: Selectați folderul cu tema activă. În interior, localizați fișierul functions.php . Pentru a ilustra, numele temei noastre active este Personal Blogily, așa că am selectat acest folder.
Pasul 4: Faceți clic dreapta și selectați Editați. Fișierul se va deschide și puteți face modificări aici. Introduceți următorul cod în fișier:
funcția check_attempted_login( $utilizator, $nume utilizator, $parolă ) {
if ( get_transient('tented_login' ) ) {
$datas = get_transient('tented_login');
if ( $date['încercat'] >= 3 ) {
$până = get_option( '_transient_timeout_' . 'tempted_login' );
$timp = time_to_go( $până la );
return new WP_Error( 'too_many_tried', sprintf( __( '<strong>EROARE</strong>: Aţi atins limita de autentificare, veţi putea încerca din nou în %1$s.' ) , $time ) );
}
}
returnează $user;
}
add_filter( 'authenticate', 'check_tempted_login', 30, 3 );
funcția login_failed( $nume utilizator ) {
if ( get_transient('tented_login' ) ) {
$datas = get_transient('tented_login');
$date['încercat']++;
if ( $date['încercat'] <= 3)
set_transient( 'încercare_de_login', $date , 300 );
} altfel {
$date = matrice(
'încercat' => 1
);
set_transient( 'încercare_de_login', $date , 300 );
}
}
add_action( 'wp_login_failed', 'login_failed', 10, 1 );
funcția time_to_go($timestamp)
{
// conversia marcajului de timp mysql la ora php
$periods = array(
"al doilea",
"minut",
"ora",
"zi",
"săptămână",
"lună",
"an"
);
$lungimi = matrice(
„60”,
„60”,
„24”,
„7”,
„4,35”,
„12”
);
$acrent_timestamp = ora();
$diferență = abs($actual_timestamp – $timestamp);
pentru ($i = 0; $diferență >= $lungimi[$i] && $i < număr ($lungimi) – 1; $i ++) {
$diferență /= $lungimi[$i];
}
$diferență = rotund($diferență);
dacă (isset($diferență)) {
dacă ($diferență != 1)
$perioade[$i] .= „s”; $ieșire = „$diferență $perioade[$i]”;
Acest cod va limita încercările de conectare la trei ori.
Pasul 5: Salvați fișierul și ieșiți.
Odată ce acest cod este încorporat pe site-ul dvs. web, utilizatorii au trei încercări de a introduce datele de conectare corecte. Dacă nu reușesc să facă acest lucru, li se va bloca accesul la contul lor pentru o perioadă temporară de timp.
Singurul motiv pentru care ar trebui să optați pentru această metodă este dacă doriți să minimizați utilizarea pluginurilor pe site-ul dvs. și să activați funcția pe cont propriu. În afară de asta, este mult mai sigur și mai ușor să folosești un plugin pentru a gestiona această sarcină pentru tine.
Asta este! Ați limitat cu succes încercările de conectare pe site-ul dvs. și, astfel, ați împiedicat hackerii și roboții să vă acceseze site-ul!
Citiți și: Cum să remediați problemele de conectare la WordPress nu sunt sigure
Ar trebui să limitați încercările de conectare pe site-ul dvs. WordPress?
Există întotdeauna un avantaj și un dezavantaj pentru orice implementați pe site-ul dvs. WordPress. Prin urmare, înainte de a continua cu activarea Limitării încercărilor de conectare pe site-ul dvs., vă vom prezenta avantajele și dezavantajele. Acest lucru vă va ajuta să determinați dacă această funcție este potrivită pentru site-ul dvs.
Avantajele limitării încercărilor de conectare
- Preveniți accesul neautorizat
Limitând încercările de autentificare pe site-ul dvs., puteți împiedica hackerii și roboții răi să forțeze pagina de autentificare și să obțină acces.
O blocare temporară este suficientă pentru a descuraja un bot și a-l face să se îndepărteze de site-ul dvs.
- Preveniți creșterea traficului și blocarea serverului
După cum am menționat, într-un atac cu forță brută, roboții încearcă mii de combinații de nume de utilizator și parole. La fiecare încercare, botul trimite o solicitare către serverul dvs. web.
Serverul dvs. web oferă resurse pentru a rula sarcini și funcții pe site-ul dvs. web, inclusiv solicitările de conectare. Dacă un bot vă bombardează site-ul cu mii de solicitări într-un minut, acesta vă poate supraîncărca serverul și îl poate cauza blocarea.
Site-ul dvs. va deveni temporar indisponibil pentru vizitatori.
- Preveniți suspendarea gazdei web
Serverul dvs. web are resurse limitate pentru a vă rula site-ul. Dacă îți depășești resursele, serverul tău se supraîncărcă.
Dacă utilizați un plan de găzduire partajată, acest lucru poate afecta alte site-uri web care se află pe același server.
Când roboții fac sute de încercări de a se conecta, site-ul dvs. folosește resurse excesive de server. Acest lucru determină furnizorul dvs. de găzduire să suspende temporar... site-ul pentru a evita orice impact asupra altor site-uri web de pe server. O fac și pentru a-și proteja propriile interese.
Dezavantajele limitării încercărilor de conectare
- Cont blocat – Dacă vă uitați din greșeală numele de utilizator și parola, puteți fi blocat accesul la cont. Ar trebui să urmați un proces de verificare pentru a vă recupera parola, care ar putea dura timp.
Acesta este singurul escroc la care ne putem gândi. Nu există alt motiv pentru care să nu implementați protecția de conectare pe site-ul dvs. Dacă sunteți în căutarea unei alternative WordPress pentru limitarea încercărilor de conectare, atunci puteți încerca autentificarea în doi factori. Acest lucru va proteja, de asemenea, pagina dvs. de autentificare WordPress. MalCare a lansat o versiune beta de autentificare cu doi factori sau puteți utiliza Google Authenticator pentru aceasta.
Acestea fiind spuse, încercările limitate de conectare WordPress sunt ușor de implementat și vă protejează site-ul de hackeri. Putem vedea că avantajele depășesc cu mult contra atunci când vine vorba de limitarea încercărilor de conectare și de protejarea site-ului dvs.
Gânduri finale
WordPress este cel mai popular CMS (Content Management System) din lume. Dar această popularitate atrage atenția hackerilor.
Site-urile WordPress sunt vizate constant de hackeri. Prin urmare, este și mai important să luați măsuri de securitate ample pe site-ul dvs. Având în vedere că pagina de autentificare WordPress este cea mai atacată pagină, limitarea încercărilor de autentificare este un loc bun de început.
Dacă doriți să vă protejați mai mult pagina de conectare WordPress, s-ar putea să găsiți utile aceste resurse:
Securitate autentificare WordPress
Pagina de conectare Protejați cu parolă cu autentificare HTTP
Protejați-vă site-ul WordPress împotriva atacurilor cu forță brută
Autentificare cu doi factori
Dacă sunteți în căutarea unei soluții de securitate completă, ușoară, dar robustă, vă recomandăm să utilizați pluginul MalCare. Îți scanează în mod regulat site-ul, creează un firewall puternic, limitează încercările de conectare și te avertizează dacă există ceva suspect. Îți protejează site-ul non-stop.
Asigurați-vă site-ul WordPress împotriva hackerilor cu MalCare!