WordPress 限制登錄嘗試:怎麼做?

已發表: 2023-04-19

您是否擔心黑客試圖登錄您的 WordPress 網站? 你是對的。

黑客正在使用試錯法來猜測登錄憑據並闖入 WordPress 網站。 事實上,在 WordPress 站點上,WordPress 登錄頁面是最常受到攻擊的頁面。

一旦黑客闖入您的管理儀表板區域,他們就可以完全控制您的網站。 他們會安裝惡意軟件、後門、破壞您的網站、宣傳和銷售非法產品、竊取您用戶的個人信息、向您的網站訪問者發送垃圾郵件以及執行其他惡意活動。

幸運的是,您可以通過限制允許用戶輸入正確憑據的登錄嘗試次數來保護您的登錄頁面。 在本指南中,我們將向您展示如何在 WordPress 網站上設置限制登錄嘗試。

長話短說: 通過限制在您的 WordPress 網站上的登錄嘗試,您可以防止黑客試圖侵入您的網站。 在您的站點上啟用此功能的最簡單和最有效的方法是使用插件。 在您的網站上安裝 MalCare 它帶有防火牆和登錄保護。 這可以保護您的網站免受暴力攻擊。

什麼是 WordPress 限制登錄嘗試?

默認情況下,WordPress 允許無限次嘗試登錄您的站點。 您可以嘗試任意多的用戶名和密碼組合。

WordPress登錄頁面

黑客知道這一點並利用此設置。 首先,他們編譯一個常用用戶名和密碼數據庫,以及被盜數據或購買數據。 接下來,他們對機器人進行編程以訪問 WordPress 網站並在幾分鐘內嘗試數千種用戶名和密碼組合。

通過這樣做,黑客能夠闖入許多 WordPress 網站。 這被稱為暴力攻擊,因為他們會在幾分鐘內向您的網站發送數千個登錄請求。

使用這種黑客方法,黑客的成功率很高(大約 10%),這主要是因為 WordPress 用戶傾向於設置較弱的登錄憑據。 雖然 10% 似乎是一個較低的數字,但鑑於有數百萬個 WordPress 網站,他們可以立即入侵數千個網站。

通過限制登錄嘗試次數,您可以阻止黑客和他們的機器人進入他們的軌道。

用戶將被授予有限的次數來輸入正確的登錄憑據。 例如,您可以授予 3 次嘗試。 如果用戶 3 次都未能輸入正確的憑據,他們將被鎖定在他們的帳戶之外。

他們將看到恢復登錄憑據的選項,例如:

  1. 聯繫管理員。
  2. 使用“忘記密碼”選項通過回答一組問題來重置密碼。
  3. 通過OTP 驗證或電子郵件驗證來證明他們的身份。
  4. 解決驗證碼以證明他們是人而不是機器人。

一旦機器人嘗試登錄三次,他們將面臨這些障礙。 他們將無法繼續前進,將繼續前往下一個目標。

因此,此安全措施可以保護您的網站免受黑客攻擊,防止世界出現麻煩。 接下來,我們將向您展示如何在 WordPress 上設置限制登錄嘗試

如何限制您的 WordPress 網站上的登錄嘗試?

有兩種方法可以限制您在 WordPress 網站上的登錄嘗試:

  1. 使用插件(簡單)
  2. 手動(硬)

我們將首先向您展示如何使用插件,因為它簡單、快速且沒有出錯的風險。

1.使用插件限制登錄嘗試

有幾個插件可以在您的 WordPress 網站上啟用有限登錄。 那麼如何選擇合適的呢?

尋找一個易於設置的插件,它將為您自動執行該過程。 此外,請確保您的插件提供有關它已阻止的嘗試的報告,以便您可以查看該插件是否真的在工作。

我們選擇了 MalCare 安全插件來說明如何限制您網站上的登錄嘗試。 它滿足我們上面列出的要求。 它還不僅僅是限制登錄嘗試,還可以始終保護您的網站。

使用 MalCare,您的網站將具有基於驗證碼的限制登錄嘗試。 這意味著如果用戶輸入錯誤憑據十次以上,他們將需要解決驗證碼問題。

解決 CAPTCHA 後,用戶可以嘗試再次登錄。 或者他們可以使用忘記密碼? 檢索其憑據的選項。

讓我們開始:

第 1 步:在您的網站上安裝 MalCare 。 激活插件並從您的 WordPress 儀表板訪問它。

第 2 步:輸入您的電子郵件地址並選擇Secure Site Now。

醫療掃描

第 3 步: MalCare 會將您重定向到其獨立的儀表板,它將自動在您的網站上運行掃描。

第 4 步:在您的網站上自動啟用有限的登錄嘗試。 現在,您一定想知道如何使用 WordPress 限制登錄嘗試?

如果您嘗試使用錯誤的憑據登錄,您將無法再次嘗試。

來自 BV 的登錄保護

當您選擇單擊此處時,您將看到如下所示的驗證碼:

BV.png 上的驗證碼

解決驗證碼後,您可以再次登錄您的站點。 如果您不記得您的憑據,您可以使用丟失您的密碼? 選項。

在 WordPress 上丟失密碼

就是這樣。 您已成功限制您網站上的登錄嘗試。 除此之外,MalCare 還建立了一個強大的防火牆來阻止任何不良機器人或惡意流量訪問您的網站。 它為您提供所有登錄嘗試的報告。 您可以在儀表板上訪問它:

MalCare 上的活動防火牆

您可以看到失敗的嘗試和成功的登錄嘗試。 您還可以看到 MalCare 已識別為可疑並自動阻止的那些。

malcare 阻止了登錄詳細信息。

現在,如果 WordPress 插件不適合您,我們已經詳細說明瞭如何在沒有插件的情況下實施 WordPress 限制登錄嘗試。 但此方法複雜且容易出錯,需謹慎操作。

2. 手動限制登錄嘗試

您可以通過手動將一段代碼插入您網站上的 WordPress 文件來為您的網站添加有限的登錄保護。 但是,我們必須提醒您,每次手動更改 WordPress 文件時,您都有破壞網站的風險。 最小的錯誤會導致大問題。

如果您希望繼續使用此方法,我們強烈建議您對您的網站進行完整備份 萬一出現任何問題,您可以快速恢復備份副本並讓您的網站恢復正常。 您可以通過在您的站點上安裝BlogVault 備份插件輕鬆進行備份,或者選擇最好的備份插件之一

準備好備份副本後,請按照以下步驟操作:

第 1 步:登錄到您的主機帳戶,並訪問您的cPanel。 在這裡,選擇文件管理器。

第 2 步:打開public_html文件夾(或您網站所在的文件夾)。 轉到wp-content > 主題。

第 3 步:選擇您的活動主題文件夾。 在裡面,找到functions.php文件。 為了說明,我們的活動主題名稱是Personal Blogily,所以我們選擇了這個文件夾。

主題功能文件

第 4 步:右鍵單擊並選擇“編輯”。 該文件將打開,您可以在此處進行更改。 在文件中插入以下代碼:

函數 check_attempted_login($user, $username, $password) {

如果(get_transient('attempted_login')){

$datas = get_transient( 'attempted_login' );

如果($datas['tried'] >= 3){

$until = get_option( '_transient_timeout_' . 'attempted_login' );

$time = time_to_go( $until );

return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERROR</strong>: 您已達到身份驗證限制,您可以在 %1$s 後重試。' ) , $time ) );

}

}

返回$用戶;

}

add_filter( 'authenticate', 'check_attempted_login', 30, 3 );

功能登錄失敗($用戶名){

如果(get_transient('attempted_login')){

$datas = get_transient( 'attempted_login' );

$datas['試過']++;

如果 ( $datas['試過'] <= 3 )

set_transient( 'attempted_login', $datas , 300 );

} 別的 {

$數據=數組(

'試過'=> 1

);

set_transient( 'attempted_login', $datas , 300 );

}

}

add_action( 'wp_login_failed', 'login_failed', 10, 1 );

函數 time_to_go($timestamp)

{

// 將 mysql 時間戳轉換為 php 時間

$週期=數組(

“第二”,

“分鐘”,

“小時”,

“天”,

“星期”,

“月”,

“年”

);

$長度=數組(

“60”,

“60”,

“24”,

“7”,

“4.35”,

“12”

);

$current_timestamp = 時間();

$difference = abs($current_timestamp – $timestamp);

對於 ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) – 1; $i ++) {

$difference /= $lengths[$i];

}

$差異=圓($差異);

如果(isset($差異)){

如果($差異!= 1)

$periods[$i] .= “s”; $output = “$difference $periods[$i]”;

此代碼將登錄嘗試限制為三次。

第五步:保存文件並退出。

將此代碼嵌入您的網站後,用戶可以嘗試三次輸入正確的登錄憑據。 如果他們不這樣做,他們將被暫時禁止訪問他們的帳戶。

達到了 WordPress 登錄的限制

您應該選擇此方法的唯一原因是,如果您想盡量減少網站上插件的使用並自行啟用該功能。 除此之外,使用插件為您處理此任務更安全、更容易。

就是這樣! 您已經成功地限制了您網站上的登錄嘗試,從而阻止了黑客和機器人訪問您的網站!

另請閱讀:如何修復 WordPress 登錄不安全問題

您應該限制 WordPress 網站上的登錄嘗試嗎?

您在 WordPress 網站上實施的任何事情總是有利有弊。 因此,在您繼續在您的網站上啟用限制登錄嘗試之前,我們將帶您了解其優點和缺點。 這將幫助您確定此功能是否適合您的網站。

限制登錄嘗試的優點

  • 防止未經授權的訪問

通過限制您網站上的登錄嘗試,您可以防止黑客和不良機器人暴力破解您的登錄頁面並獲得訪問權限。

臨時鎖定足以阻止機器人並使它們離開您的站點。

  • 防止流量激增和服務器崩潰

正如我們所提到的,在暴力攻擊中,機器人會嘗試數千種用戶名和密碼的組合。 每次嘗試時,機器人都會向您的 Web 服務器發送請求。

您的網絡服務器提供資源以在您的網站上運行任務和功能,包括登錄請求。 如果機器人在一分鐘內用數千個請求轟炸您的站點,它可能會使您的服務器過載並導致其崩潰。

訪問者將暫時無法訪問您的網站。

  • 防止虛擬主機暫停

您的網絡服務器運行網站的資源有限。 如果您超出了您的資源,您的服務器就會超載。

如果您使用的是共享託管計劃,這可能會影響同一服務器上的其他網站。

當機器人進行數百次登錄嘗試時,您的站點正在使用過多的服務器資源。 這會提示您的託管服務提供商暫時中止……該站點以避免對服務器上的其他網站造成任何影響。 他們這樣做也是為了保護自己的利益。

限制登錄嘗試的缺點

  • 帳戶被鎖定 –如果您不小心忘記了用戶名和密碼,您可能會被鎖定在帳戶之外。 您需要遵循驗證過程來恢復您的密碼,這可能需要一些時間。

這是我們能想到的唯一騙局。 沒有其他理由不應該在您的網站上實施登錄保護。 如果您正在尋找WordPress 限制登錄嘗試的替代方案,那麼您可以嘗試 2 因素身份驗證。 這也將保護您的 WordPress 登錄頁面。 MalCare 推出了 2 因素身份驗證的測試版,或者您可以為此使用 Google Authenticator。

也就是說,WordPress 限制登錄嘗試很容易實施並保護您的網站免受黑客攻擊。 我們可以看到,在限制登錄嘗試和保護您的網站方面利大於弊。

最後的想法

WordPress 是世界上最受歡迎的 CMS(內容管理系統)。 但這種流行引起了黑客的注意。

WordPress 網站經常成為黑客的目標。 因此,在您的網站上採取充分的安全措施就顯得尤為重要。 鑑於 WordPress 登錄頁面是最受攻擊的頁面,限制登錄嘗試是一個很好的起點。

如果您想進一步保護您的 WordPress 登錄頁面,您可能會發現這些資源很有幫助:

WordPress 登錄安全

使用 HTTP 身份驗證的密碼保護登錄頁面

保護您的 WordPress 網站免受暴力攻擊

雙因素身份驗證

如果您正在尋找一個全面的簡單但強大的安全解決方案,我們建議您使用 MalCare 插件。 它會定期掃描您的網站,設置強大的防火牆,限制登錄嘗試,並在出現任何可疑情況時提醒您。 它全天候保護您的網站。

使用 MalCare保護您的 WordPress 網站免受黑客攻擊!