默认情况下,WordPress 对登录次数是没有限制的,密码错误可以无限次重新登录,这样的话我们的 WordPress 站点就很有可能被别人暴力破解密码,所以非常有必要安装一款限制登录次数防止被暴力破解密码的插件。以前 boke112 联盟推荐过Limit Login Attempts 插件,不过这款插件已经很久没有更新了,所以这次向大家推荐这款 Limit Login Attempts Reloaded 插件,据说是 Limit Login Attempts 的升级版,能够限制通过普通登录以及 XMLRPC,Woocommerce 和自定义登录页面可能进行的登录尝试次数,以达到防止被暴力破解密码。
Limit Login Attempts Reloaded 插件的安装及启用
登录 WordPress 后台 – 插件 – 安装插件 – 搜索“Limit Login Attempts Reloaded”,点击该插件右上角的【现在安装】按钮,稍等片刻安装完毕后点击【Activate】或【启用】按钮启用该插件(PS:或前往插件 – 已安装的插件 – 找到该插件后点击【启用】按钮)。
如果无法在后台直接安装就前往 WordPress 官方插件页面Limit Login Attempts Reloaded中下载,然后在后台 – 插件 – 安装插件 – 点击【上传插件】- 点击【选择文件】按钮后选择刚才下载的插件安装包 – 点击【现在安装】按钮 – 成功安装后点击【启用插件】按钮。
Limit Login Attempts Reloaded 插件的使用
1、常规设置:登录 WordPress 后台 – 设置 – Limit Login Attempts – 设置 – 常规设置:
1.1 GDPR 合规性:可以勾选该选项让该插件符合 GDPR 条款。
1.2 拦截时通知:可以设置尝试登录被拦截多少次后发邮件给管理员。
1.3、Worker Settings – Local Worker 设置:
1.3.1 拦截:可以直接默认,因为这个是插件同时兼容中文,所以这里就不一一细说,大家可以根据实际情况调整。
1.3.2 可信的 IP 来源:按优先级顺序指定您信任的来源,以逗号分隔。我们强烈建议您请勿使用 REMOTE_ADDR 以外的其他任何东西,因为其他来源很容易被伪造。示例:HTTP_X_FORWARDED_FOR,HTTP_CF_CONNECTING_IP,HTTP_X_SUCURI_CLIENTIP。所以建议直接默认即可。
2、仪表盘:登录 WordPress 后台 – 设置 – Limit Login Attempts – 设置 – 仪表盘:
2.1 拦截合计:这里显示的是总共拦截了多少次尝试登录,如果有数据后可以点击【重置计数器】复位。
2.2 允许规则:这里可以填写允许尝试登录的 IP 或 IP 范围或用户名,符合条件的尝试登录不受限制。
2.3 拒绝规则:这里可以填写允许尝试登录的 IP 或 IP 范围或用户名,符合条件的尝试登录直接被拒绝。
2.4 拦截日志:这里可以详细看到尝试登录的时间、IP 地址、用户名等情况,也可以针对某个拦截点击【Unlock】按钮解除限制。如果日志太多不想保留可以点击【清除日志】按钮。
不管是 Limit Login Attempts Reloaded 插件的仪表盘规则设置还是常规设置,最后都要记得点击【保存设置】按钮。
总结
这款限制 WordPress 后台登录次数防止被暴力破解密码的插件 Limit Login Attempts Reloaded 还是非常不错的,设置也非常简单。而且还可以根据日志针对某些频繁破解的 IP 地址或用户名直接添加到拒绝规则中以绝后患。如果你的 WordPress 站点经常被别人暴力破解的话,不妨试试这款插件。