WordPress 限制登录尝试:怎么做?

已发表: 2023-04-19

您是否担心黑客试图登录您的 WordPress 网站? 你是对的。

黑客正在使用试错法来猜测登录凭据并闯入 WordPress 网站。 事实上,在 WordPress 站点上,WordPress 登录页面是最常受到攻击的页面。

一旦黑客闯入您的管理仪表板区域,他们就可以完全控制您的网站。 他们会安装恶意软件、后门、破坏您的网站、宣传和销售非法产品、窃取您用户的个人信息、向您的网站访问者发送垃圾邮件以及执行其他恶意活动。

幸运的是,您可以通过限制允许用户输入正确凭据的登录尝试次数来保护您的登录页面。 在本指南中,我们将向您展示如何在 WordPress 网站上设置限制登录尝试。

长话短说: 通过限制在您的 WordPress 网站上的登录尝试,您可以防止黑客试图侵入您的网站。 在您的站点上启用此功能的最简单和最有效的方法是使用插件。 在您的网站上安装 MalCare 它带有防火墙和登录保护。 这可以保护您的网站免受暴力攻击。

什么是 WordPress 限制登录尝试?

默认情况下,WordPress 允许无限次尝试登录您的站点。 您可以尝试任意多的用户名和密码组合。

WordPress登录页面

黑客知道这一点并利用此设置。 首先,他们编译一个常用用户名和密码数据库,以及被盗数据或购买数据。 接下来,他们对机器人进行编程以访问 WordPress 网站并在几分钟内尝试数千种用户名和密码组合。

通过这样做,黑客能够闯入许多 WordPress 网站。 这被称为暴力攻击,因为他们会在几分钟内向您的网站发送数千个登录请求。

使用这种黑客方法,黑客的成功率很高(大约 10%),这主要是因为 WordPress 用户倾向于设置较弱的登录凭据。 虽然 10% 似乎是一个较低的数字,但鉴于有数百万个 WordPress 网站,他们可以立即入侵数千个网站。

通过限制登录尝试次数,您可以阻止黑客和他们的机器人进入他们的轨道。

用户将被授予有限的次数来输入正确的登录凭据。 例如,您可以授予 3 次尝试。 如果用户 3 次都未能输入正确的凭据,他们将被锁定在他们的帐户之外。

他们将看到恢复登录凭据的选项,例如:

  1. 联系管理员。
  2. 使用“忘记密码”选项通过回答一组问题来重置密码。
  3. 通过OTP 验证或电子邮件验证来证明他们的身份。
  4. 解决验证码以证明他们是人而不是机器人。

一旦机器人尝试登录三次,他们将面临这些障碍。 他们将无法继续前进,将继续前往下一个目标。

因此,此安全措施可以保护您的网站免受黑客攻击,防止世界出现麻烦。 接下来,我们将向您展示如何在 WordPress 上设置限制登录尝试

如何限制您的 WordPress 网站上的登录尝试?

有两种方法可以限制您在 WordPress 网站上的登录尝试:

  1. 使用插件(简单)
  2. 手动(硬)

我们将首先向您展示如何使用插件,因为它简单、快速且没有出错的风险。

1.使用插件限制登录尝试

有几个插件可以在您的 WordPress 网站上启用有限登录。 那么如何选择合适的呢?

寻找一个易于设置的插件,它将为您自动执行该过程。 此外,请确保您的插件提供有关它已阻止的尝试的报告,以便您可以查看该插件是否真的在工作。

我们选择了 MalCare 安全插件来说明如何限制您网站上的登录尝试。 它满足我们上面列出的要求。 它还不仅仅是限制登录尝试,还可以始终保护您的网站。

使用 MalCare,您的网站将具有基于验证码的限制登录尝试。 这意味着如果用户输入错误凭据十次以上,他们将需要解决验证码问题。

解决 CAPTCHA 后,用户可以尝试再次登录。 或者他们可以使用忘记密码? 检索其凭据的选项。

让我们开始:

第 1 步:在您的网站上安装 MalCare 。 激活插件并从您的 WordPress 仪表板访问它。

第 2 步:输入您的电子邮件地址并选择Secure Site Now。

医疗扫描

第 3 步: MalCare 会将您重定向到其独立的仪表板,它将自动在您的网站上运行扫描。

第 4 步:在您的网站上自动启用有限的登录尝试。 现在,您一定想知道如何使用 WordPress 限制登录尝试?

如果您尝试使用错误的凭据登录,您将无法再次尝试。

来自 BV 的登录保护

当您选择单击此处时,您将看到如下所示的验证码:

BV.png 上的验证码

解决验证码后,您可以再次登录您的站点。 如果您不记得您的凭据,您可以使用丢失您的密码? 选项。

在 WordPress 上丢失密码

就是这样。 您已成功限制您网站上的登录尝试。 除此之外,MalCare 还建立了一个强大的防火墙来阻止任何不良机器人或恶意流量访问您的网站。 它为您提供所有登录尝试的报告。 您可以在仪表板上访问它:

MalCare 上的活动防火墙

您可以看到失败的尝试和成功的登录尝试。 您还可以看到 MalCare 已识别为可疑并自动阻止的那些。

malcare 阻止了登录详细信息。

现在,如果 WordPress 插件不适合您,我们已经详细说明了如何在没有插件的情况下实施 WordPress 限制登录尝试。 但此方法复杂且容易出错,需谨慎操作。

2. 手动限制登录尝试

您可以通过手动将一段代码插入您网站上的 WordPress 文件来为您的网站添加有限的登录保护。 但是,我们必须提醒您,每次手动更改 WordPress 文件时,您都有破坏网站的风险。 最小的错误会导致大问题。

如果您希望继续使用此方法,我们强烈建议您对您的网站进行完整备份 万一出现任何问题,您可以快速恢复备份副本并让您的网站恢复正常。 您可以通过在您的站点上安装BlogVault 备份插件轻松进行备份,或者选择最好的备份插件之一

准备好备份副本后,请按照以下步骤操作:

第 1 步:登录到您的主机帐户,并访问您的cPanel。 在这里,选择文件管理器。

第 2 步:打开public_html文件夹(或您网站所在的文件夹)。 转到wp-content > 主题。

第 3 步:选择您的活动主题文件夹。 在里面,找到functions.php文件。 为了说明,我们的活动主题名称是Personal Blogily,所以我们选择了这个文件夹。

主题功能文件

第 4 步:右键单击并选择“编辑”。 该文件将打开,您可以在此处进行更改。 在文件中插入以下代码:

函数 check_attempted_login($user, $username, $password) {

如果(get_transient('attempted_login')){

$datas = get_transient( 'attempted_login' );

如果($datas['tried'] >= 3){

$until = get_option( '_transient_timeout_' . 'attempted_login' );

$time = time_to_go( $until );

return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERROR</strong>: 您已达到身份验证限制,您可以在 %1$s 后重试。' ) , $time ) );

}

}

返回$用户;

}

add_filter( 'authenticate', 'check_attempted_login', 30, 3 );

功能登录失败($用户名){

如果(get_transient('attempted_login')){

$datas = get_transient( 'attempted_login' );

$datas['试过']++;

如果 ( $datas['试过'] <= 3 )

set_transient( 'attempted_login', $datas , 300 );

} 别的 {

$数据=数组(

'试过'=> 1

);

set_transient( 'attempted_login', $datas , 300 );

}

}

add_action( 'wp_login_failed', 'login_failed', 10, 1 );

函数 time_to_go($timestamp)

{

// 将 mysql 时间戳转换为 php 时间

$周期=数组(

“第二”,

“分钟”,

“小时”,

“天”,

“星期”,

“月”,

“年”

);

$长度=数组(

“60”,

“60”,

“24”,

“7”,

“4.35”,

“12”

);

$current_timestamp = 时间();

$difference = abs($current_timestamp – $timestamp);

对于 ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) – 1; $i ++) {

$difference /= $lengths[$i];

}

$差异=圆($差异);

如果(isset($差异)){

如果($差异!= 1)

$periods[$i] .= “s”; $output = “$difference $periods[$i]”;

此代码将登录尝试限制为三次。

第五步:保存文件并退出。

将此代码嵌入您的网站后,用户可以尝试三次输入正确的登录凭据。 如果他们不这样做,他们将被暂时禁止访问他们的帐户。

达到了 WordPress 登录的限制

您应该选择此方法的唯一原因是,如果您想尽量减少网站上插件的使用并自行启用该功能。 除此之外,使用插件为您处理此任务更安全、更容易。

就是这样! 您已经成功地限制了您网站上的登录尝试,从而阻止了黑客和机器人访问您的网站!

另请阅读:如何修复 WordPress 登录不安全问题

您应该限制 WordPress 网站上的登录尝试吗?

您在 WordPress 网站上实施的任何事情总是有利有弊。 因此,在您继续在您的网站上启用限制登录尝试之前,我们将带您了解其优点和缺点。 这将帮助您确定此功能是否适合您的网站。

限制登录尝试的优点

  • 防止未经授权的访问

通过限制您网站上的登录尝试,您可以防止黑客和不良机器人暴力破解您的登录页面并获得访问权限。

临时锁定足以阻止机器人并使它们离开您的站点。

  • 防止流量激增和服务器崩溃

正如我们所提到的,在暴力攻击中,机器人会尝试数千种用户名和密码的组合。 每次尝试时,机器人都会向您的 Web 服务器发送请求。

您的网络服务器提供资源以在您的网站上运行任务和功能,包括登录请求。 如果机器人在一分钟内用数千个请求轰炸您的站点,它可能会使您的服务器过载并导致其崩溃。

访问者将暂时无法访问您的网站。

  • 防止虚拟主机暂停

您的网络服务器运行网站的资源有限。 如果您超出了您的资源,您的服务器就会超载。

如果您使用的是共享托管计划,这可能会影响同一服务器上的其他网站。

当机器人进行数百次登录尝试时,您的站点正在使用过多的服务器资源。 这会提示您的托管服务提供商暂时中止……该站点以避免对服务器上的其他网站造成任何影响。 他们这样做也是为了保护自己的利益。

限制登录尝试的缺点

  • 帐户被锁定 –如果您不小心忘记了用户名和密码,您可能会被锁定在帐户之外。 您需要遵循验证过程来恢复您的密码,这可能需要一些时间。

这是我们能想到的唯一骗局。 没有其他理由不应该在您的网站上实施登录保护。 如果您正在寻找WordPress 限制登录尝试的替代方案,那么您可以尝试 2 因素身份验证。 这也将保护您的 WordPress 登录页面。 MalCare 推出了 2 因素身份验证的测试版,或者您可以为此使用 Google Authenticator。

也就是说,WordPress 限制登录尝试很容易实施并保护您的网站免受黑客攻击。 我们可以看到,在限制登录尝试和保护您的网站方面利大于弊。

最后的想法

WordPress 是世界上最受欢迎的 CMS(内容管理系统)。 但这种流行引起了黑客的注意。

WordPress 网站经常成为黑客的目标。 因此,在您的网站上采取充分的安全措施就显得尤为重要。 鉴于 WordPress 登录页面是最受攻击的页面,限制登录尝试是一个很好的起点。

如果您想进一步保护您的 WordPress 登录页面,您可能会发现这些资源很有帮助:

WordPress 登录安全

使用 HTTP 身份验证的密码保护登录页面

保护您的 WordPress 网站免受暴力攻击

双因素身份验证

如果您正在寻找一个全面的简单但强大的安全解决方案,我们建议您使用 MalCare 插件。 它会定期扫描您的网站,设置强大的防火墙,限制登录尝试,并在出现任何可疑情况时提醒您。 它全天候保护您的网站。

使用 MalCare保护您的 WordPress 网站免受黑客攻击!