我的两个站点都是WordPress的,都经常收到到邮件说有人试图登录我的站点,这个应该就是所谓的暴力破解吧,而且用得比较多的用户名就是admin默认账号(建议大家不用用默认账号admin作管理员账号),由此可见其他的WordPress博客网站应该也是经常遇到这种情况,所以今天重点推荐这款通过限制用户登录次数来防止暴力破解的插件Limit Login Attempts。
这款Limit Login Attempts 插件,它的作用在于用户登录失败超过多少次后,就锁定这个用户名相隔多少小时后才可以再提交登录请求,同时记录测试的用户名和来源 IP,如果你发现某个IP经常如此,将IP添加到服务器防火墙禁止访问即可。
插件的安装
1、登录WordPress后台—>插件—>安装插件—>搜索“Limit Login Attempts” —>找到插件后点击【现在安装】—>安装成功后点击【启用插件】。
2、WordPress后台—>设置—> Limit Login Attempts—>进行简单的设置(默认是英文版)。
插件的设置翻译(其实就几个简单选项):
Statistics 统计
Total lockouts总锁定数,这里记录的是达到尝试次数上线而被锁定的次数
Options 选项
Lockout 锁定:
4 allowed retries 允许重试的次数,默认为4次。超过则该IP被禁止登录尝试,禁止时间见下。
20 minutes lockout 这个和上面的选项相关,在被禁止后,多少分钟后可以再次尝试,默认为20分钟后。
4 lockouts increase lockout time to 24 hours 在4次被禁止登录后,将禁止时间增加到24小时。
12 hours until retries are reset 这个是设置12小时后重置某IP登录尝试的计数,也就是尝试次数和锁定计数归零。
Site Connection 站点连接方式
Direct connection 直接连接
From behind a reversy proxy 从一个转向代理后
一般来说站点都是直接连接的,当然也有一些情况,比如服务器的缓存或者负载均衡会让站点处于转向代理后。其实直接默认即可,这个选项不用理会。
Handle cookie login 处理cookie方式登录,默认即可。
Notify on lockout 出现登录尝试锁定时提醒
Log IP 记录IP地址,比较重要。万一有情况有助于分析。
Email to admin after 4 lockouts 在4次锁定登录后Email通知管理员。
以上就是这款插件的设置选项,其实,全部默认即可,当然为了安全起见,可以适当减少尝试登录的次数和两者登录的时间间隔。如可以根据下图所示进行设置,其他默认即可。
以上设置的意思就是只有一次登录的机会,一旦输入用户名和密码不对,将会直接锁定这个IP,需要900小时后才能再次登录。当然这个900小时还可以适当加大,如加大到90000小时。所以一旦这样设置,我们作为管理员登录后台的时候就要小心了,不要连自己也被锁定了,那样就不好玩了。
万一我们真的被锁定了,我们作为管理员是有两种方法可以解决的,一个就是重启路由器,重新获取一个新的IP即可;另一个就是直接通过FTP修改我们这款插件的名字,如把我们空间的插件文件夹内的Limit Login Attempts文件夹重命名为Limit Login Attempts1即可让这款插件失效。重新命名为Limit Login Attempts又可以重新启用这款插件。
如果大家有被暴力破解的经历,不妨试试这款插件,应该还是很不错的。