Ограничение попыток входа в WordPress: как это сделать?

Вы обеспокоены тем, что хакеры пытаются войти на ваш сайт WordPress? Вы имеете право быть.

Хакеры используют методы проб и ошибок, чтобы угадать учетные данные для входа и взломать сайты WordPress. Фактически, на сайте WordPress страница входа в WordPress является наиболее атакуемой страницей.

Как только хакер проникнет в вашу панель администратора, он сможет получить полный контроль над вашим сайтом. Они будут устанавливать вредоносное ПО, бэкдор, искажать ваш сайт, рекламировать и продавать нелегальные продукты, красть личную информацию вашего пользователя, рассылать спам посетителям вашего сайта и выполнять другие вредоносные действия.

К счастью, вы можете защитить свою страницу входа, ограничив количество попыток входа, которое предоставляется пользователю для ввода правильных учетных данных. В этом руководстве мы покажем вам , как настроить ограничение на количество попыток входа на сайт WordPress.

TL;DR: Ограничив попытки входа в систему на вашем сайте WordPress, вы можете предотвратить попытки хакеров проникнуть на ваш сайт. Самый простой и эффективный способ включить эту функцию на вашем сайте — использовать плагин. Установите MalCare на свой сайт. Он поставляется с брандмауэром и защитой входа. Это защитит ваш сайт от атак грубой силы.

Что такое лимит попыток входа в WordPress?

По умолчанию WordPress разрешает неограниченное количество попыток входа на ваш сайт. Вы можете попробовать столько комбинаций имен пользователей и паролей, сколько захотите.

Хакеры знают об этом и используют этот параметр. Во-первых, они составляют базу данных часто используемых имен пользователей и паролей, а также украденных или купленных данных. Затем они программируют ботов для посещения сайтов WordPress и перебора тысяч комбинаций имен пользователей и паролей менее чем за несколько минут.

При этом хакеры могут взломать многие сайты WordPress. Это называется атакой грубой силы , поскольку они загружают ваш сайт тысячами запросов на вход в систему за несколько минут.

Используя этот метод взлома, хакеры имеют хороший показатель успеха (примерно 10%), в основном из-за того, что пользователи WordPress, как правило, устанавливают слабые учетные данные для входа. Хотя 10% кажутся небольшим числом, учитывая тот факт, что существуют миллионы сайтов WordPress, они могут взломать тысячи сайтов в кратчайшие сроки.

Ограничив количество попыток входа в систему, вы можете остановить хакеров и их ботов.

Пользователю будет предоставлено ограниченное количество раз ввести правильные учетные данные для входа. Например, вы можете предоставить три попытки. Если пользователь не введет правильные учетные данные все три раза, его учетная запись будет заблокирована.

Им будут представлены варианты восстановления их учетных данных для входа, такие как:

1. Свяжитесь с администратором.
2. Используйте опцию «забыли пароль» , чтобы сбросить пароль, ответив на ряд вопросов.
3. Подтвердите свою личность с помощью OTP-проверки или проверки электронной почты.
4. Решите капчу, чтобы доказать, что это человек, а не бот.

После того, как бот трижды попытается войти в систему, он столкнется с этими препятствиями. Они не смогут двигаться дальше и перейдут к следующей цели.

Таким образом, эта мера безопасности может защитить ваш сайт от хакеров и предотвратить массу неприятностей. Далее мы покажем вам, как настроить ограничение на количество попыток входа в систему в WordPress.

Как ограничить попытки входа в систему на вашем сайте WordPress?

Есть два способа ограничить количество попыток входа на ваш сайт WordPress:

1. Использование плагина (просто)
2. Вручную (сложно)

Сначала мы покажем вам, как использовать плагин, потому что это просто, быстро и без риска ошибок.

1. Ограничьте попытки входа в систему с помощью плагина

Есть несколько плагинов, которые позволяют ограничивать вход в систему на вашем сайте WordPress. Так как же выбрать правильный?

Ищите плагин, который легко настроить и который автоматизирует этот процесс. Кроме того, убедитесь, что ваш плагин предоставляет отчет о заблокированных попытках, чтобы вы могли видеть, действительно ли работает плагин.

Мы выбрали подключаемый модуль безопасности MalCare, чтобы проиллюстрировать, как ограничить количество попыток входа на ваш сайт. Он соответствует требованиям, которые мы перечислили выше. Это также выходит за рамки простого ограничения попыток входа в систему и обеспечивает постоянную защиту вашего веб-сайта.

С MalCare ваш веб-сайт будет иметь ограничения на количество попыток входа в систему на основе CAPTCHA. Это означает, что если пользователь вводит неправильные учетные данные более десяти раз, ему потребуется решить CAPTCHA.

После решения CAPTCHA пользователь может попытаться снова войти в систему. Или они могут использовать Забытый пароль? возможность получить свои учетные данные.

Давай начнем:

Шаг 1: Установите MalCare на свой сайт. Активируйте плагин и получите к нему доступ с панели управления WordPress.

Шаг 2: Введите свой адрес электронной почты и выберите Безопасный сайт сейчас.

Шаг 3: MalCare перенаправит вас на свою независимую панель инструментов, где он автоматически запустит сканирование вашего сайта.

Шаг 4: На вашем сайте автоматически включается ограниченное количество попыток входа. Теперь вам должно быть интересно , как я могу использовать лимит попыток входа в WordPress?

Если вы попытаетесь войти с неправильными учетными данными, повторная попытка будет заблокирована.

Когда вы выберете «Нажмите здесь», вам будет представлена ​​CAPTCHA, например:

После решения CAPTCHA вы можете снова войти на свой сайт. Если вы не можете вспомнить свои учетные данные, вы можете использовать функцию Забыли пароль? вариант.

Вот и все. Вы успешно ограничили количество попыток входа на свой веб-сайт. Помимо этого, MalCare также устанавливает надежный брандмауэр, чтобы предотвратить доступ к вашему сайту любым плохим ботам или вредоносному трафику. Он предоставляет вам отчет обо всех попытках входа в систему. Вы можете получить доступ к этому на панели инструментов:

Вы можете увидеть неудачные попытки и успешные попытки входа в систему. Вы также можете увидеть те, которые MalCare идентифицировала как подозрительные и заблокировала автоматически.

Теперь, если плагин WordPress не подходит для вас, мы подробно описали, как вы можете реализовать ограничение количества попыток входа в WordPress без плагина. Но этот метод сложен и подвержен ошибкам, поэтому действуйте осторожно.

2. Ограничьте количество попыток входа вручную

Вы можете добавить на свой сайт ограниченную защиту входа в систему, вручную вставив фрагмент кода в файл WordPress на своем сайте. Однако мы должны предупредить вас, что каждый раз, когда вы вручную вносите изменения в файл WordPress, вы рискуете сломать свой веб-сайт . Малейшие ошибки приводят к большим проблемам.

Если вы хотите продолжить использовать этот метод, мы настоятельно рекомендуем сделать полную резервную копию вашего сайта. Если что-то пойдет не так, вы сможете быстро восстановить резервную копию и вернуть сайт в нормальное состояние. Вы можете легко создать резервную копию, установив плагин резервного копирования BlogVault на свой сайт или выбрав один из лучших плагинов резервного копирования.

Если у вас есть резервная копия, выполните следующие действия:

Шаг 1: Войдите в свою учетную запись хостинга и войдите в свою cPanel. Здесь выберите Диспетчер файлов.

Шаг 2: Откройте папку public_html (или папку, в которой находится ваш сайт). Перейдите в раздел wp-content > Темы.

Шаг 3: Выберите папку с активной темой. Внутри найдите файл functions.php . Для иллюстрации, наша активная тема называется Personal Blogily, поэтому мы выбрали эту папку.

Шаг 4: Щелкните правой кнопкой мыши и выберите «Изменить». Файл откроется, и вы можете внести изменения здесь. Вставьте следующий код в файл:

функция check_attempted_login($user, $username, $password) {

если (get_transient('попытка_входа') ) {

$data = get_transient('попытка_входа');

если ($datas['пробовал'] >= 3) {

$until = get_option( '_transient_timeout_' . 'attempted_login');

$time = time_to_go($until);

return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ОШИБКА</strong>: достигнут лимит аутентификации, вы сможете повторить попытку через %1$s.' ), $time ) );

}

}

вернуть $пользователя;

}

add_filter('аутентификация', 'check_attempted_login', 30, 3);

функция login_failed($username) {

если (get_transient('попытка_входа') ) {

$data = get_transient('попытка_входа');

$данные['пробовал']++;

если ($datas['пробовал'] <= 3)

set_transient('attempted_login', $datas, 300);

} еще {

$ данные = массив (

'пытался' => 1

);

set_transient('attempted_login', $datas, 300);

}

}

add_action('wp_login_failed', 'login_failed', 10, 1);

функция time_to_go($timestamp)

{

// преобразование временной метки mysql во время php

$ периоды = массив (

"второй",

«минута»,

"час",

"день",

"неделя",

"месяц",

"год"

);

$ длины = массив (

«60»,

«60»,

«24»,

«7»,

«4.35»,

«12»

);

$current_timestamp = время();

$difference = abs($current_timestamp – $timestamp);

for ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) – 1; $i ++) {

$difference /= $lengths[$i];

}

$ разница = раунд ($ разница);

если (установить ($ разница)) {

если ($ разница != 1)

$periods[$i] .= "s"; $output = "$разница $периодов[$i]";

Этот код ограничит количество попыток входа в систему до трех раз.

Шаг 5: Сохраните файл и выйдите.

После того, как этот код будет встроен на ваш веб-сайт, у пользователей будет три попытки ввести правильные учетные данные для входа. Если они этого не сделают, им будет заблокирован доступ к их учетной записи на временный период времени.

Единственная причина, по которой вы должны выбрать этот метод, заключается в том, что вы хотите свести к минимуму использование плагинов на своем сайте и включить эту функцию самостоятельно. Кроме того, гораздо безопаснее и проще использовать плагин, который справится с этой задачей за вас.

Вот и все! Вы успешно ограничили количество попыток входа на свой сайт и таким образом предотвратили доступ хакеров и ботов к вашему сайту!

Читайте также: Как исправить проблемы с небезопасным входом в WordPress

Стоит ли ограничивать попытки входа в систему на вашем сайте WordPress?

Во всем, что вы реализуете на своем сайте WordPress, всегда есть свои плюсы и минусы. Поэтому, прежде чем вы включите ограничение на количество попыток входа на свой сайт, мы рассмотрим преимущества и недостатки. Это поможет вам определить, подходит ли эта функция для вашего сайта.

Плюсы ограничения попыток входа

• Предотвращение несанкционированного доступа

Ограничивая попытки входа на свой сайт, вы можете помешать хакерам и вредоносным ботам взломать вашу страницу входа и получить доступ.

Временной блокировки достаточно, чтобы обескуражить бота и заставить его покинуть ваш сайт.

• Предотвратить скачок трафика и сбой сервера

Как мы уже упоминали, при атаке методом грубой силы боты пытаются использовать тысячи комбинаций имен пользователей и паролей. При каждой попытке бот отправляет запрос на ваш веб-сервер.

Ваш веб-сервер предоставляет ресурсы для выполнения задач и функций на вашем веб-сайте, включая запросы на вход. Если бот бомбардирует ваш сайт тысячами запросов в минуту, он может перегрузить ваш сервер и привести к его сбою.

Ваш сайт станет временно недоступен для посетителей.

• Предотвратить приостановку веб-хостинга

Ваш веб-сервер имеет ограниченные ресурсы для запуска вашего сайта. Если вы превысите свои ресурсы, ваш сервер будет перегружен.

Если вы используете план общего хостинга, это может повлиять на другие веб-сайты, находящиеся на том же сервере.

Когда боты предпринимают сотни попыток входа в систему, ваш сайт использует чрезмерные ресурсы сервера. Это побуждает вашего хостинг-провайдера временно приостановить… сайт, чтобы избежать какого-либо влияния на другие сайты на сервере. Они также делают это, чтобы защитить свои интересы.

Минусы ограничения попыток входа в систему

• Учетная запись заблокирована. Если вы случайно забудете свое имя пользователя и пароль, ваша учетная запись может быть заблокирована. Вам нужно будет пройти процесс проверки, чтобы восстановить пароль, что может занять некоторое время.

Это единственная афера, о которой мы можем думать. Нет другой причины, по которой вы не должны внедрять защиту входа на свой сайт. Если вы ищете альтернативу ограничения количества попыток входа в WordPress, вы можете попробовать двухфакторную аутентификацию. Это также защитит вашу страницу входа в WordPress. MalCare запустила бета-версию двухфакторной аутентификации, или вы можете использовать для этого Google Authenticator.

Тем не менее, ограниченное количество попыток входа в WordPress легко реализовать, и оно защищает ваш сайт от хакеров. Мы видим, что плюсы намного перевешивают минусы, когда речь идет об ограничении попыток входа в систему и защите вашего сайта.

Последние мысли

WordPress — самая популярная CMS (система управления контентом) в мире. Но эта популярность привлекает внимание хакеров.

Сайты WordPress постоянно подвергаются атакам хакеров. Так что еще более важно, чтобы вы приняли достаточные меры безопасности на своем сайте. Учитывая, что страница входа в WordPress является наиболее атакуемой страницей, ограничение попыток входа — хорошее начало.

Если вы хотите дополнительно защитить свою страницу входа в WordPress, вам могут пригодиться следующие ресурсы:

Безопасность входа в WordPress

Защита страницы входа паролем с HTTP-аутентификацией

Защитите свой сайт WordPress от атак грубой силы

Двухфакторная аутентификация

Если вы ищете универсальное простое, но надежное решение для обеспечения безопасности, мы рекомендуем использовать плагин MalCare. Он регулярно сканирует ваш сайт, устанавливает надежный брандмауэр, ограничивает попытки входа в систему и предупреждает вас, если есть что-то подозрительное. Защищает ваш сайт круглосуточно.

Защитите свой сайт WordPress от хакеров с помощью MalCare!