Loading
0

WordPress后台登录保护插件及方法

WordPress后台登录的默认表单就是 用户名、密码这两项,如果WordPress网站管理员设置的用户名和密码太过简单的话,就会比较容易被攻击者恶意破解,影响WordPress网站的安全性。这里WPYOU为大家汇总介绍几种非常实用的高级WordPress后台登录安全保护插件和方法,具体如下:

1. 代码实现后台登录安全参数

在当前网站使用的主题的 functions.php 文件中,添加以下代码:

//ModifyAdminLoginURL-Meta
add_action(‘login_enqueue_scripts’,’login_protection’);
function login_protection(){
if($_GET[‘name’] != ‘youname’)header(‘Location: https://www.wpyou.com/’);
}

添加代码后,后台登录的默认地址https://www.wpyou.com/wp-login.php 就无法登录了,只能使用添加自定义参数后的唯一的地址 https://www.wpyou.com/wp-login.php?name=youname 来进入了,如果不是这个地址,就会自动跳转到 https://www.wpyou.com/。

当然你也可以修改 if($_GET[‘name’] != ‘youname’) 里面的 name 和 yourname 这2个参数,自定义为你想要的参数路径;最重要的不用忘了修改里面的 https://www.wpyou.com/ 为你的网站网址。

2. WordPress 防破解限制用户登录次数插件 –  Limit Login Attempts

Limit Login Attempts 插件,它的作用在于用户登录失败超过多少次后,就锁定这个用户名再提交登录请求,同时记录测试的用户名和来源 IP,如果你发现某个IP经常如此,将IP添加到服务器防火墙禁止访问即可。

插件设置界面如下:

WordPress后台登录保护插件及方法

插件相关设置参数介绍:

Statistics 统计

Total lockouts    总锁定数,这里记录的是达到尝试次数上线而被锁定的次数

Options 选项

Lockout 锁定:

  • X  allowed retries  允许重试的次数,默认为4次。超过则该IP被禁止登录尝试,禁止时间见下。
  • X  minutes lockout  这个和上面的选项相关,在被禁止后,多少分钟后可以再次尝试,默认为20分钟后。
  • X  lockouts increase lockout time to X hours 在多少次被禁止登录后,将禁止时间增加到多少小时,默认为4次被锁后,请24小时后再来~
  • X hours until retries are reset 这个是设置多长时间后重置某IP登录尝试的计数,默认是24小时后重置,也就是尝试次数和锁定计数归零。

Site Connection 站点连接方式

  • Direct connection 直接连接
  • From behind a reversy proxy 从一个转向代理后

一般来说站点都是直接连接的,当然也有一些情况,比如服务器的缓存或者负载均衡会让站点处于转向代理后。这个插件有自动检测功能,如果你看到“It appears the site is reached directly”,那么就请不要修改默认的设置了。

Handle cookie login 处理cookie方式登录

Notify on lockout 出现登录尝试锁定时提醒

  • Log IP  记录IP地址,比较重要。万一有情况有助于分析。
  • Email to admin after X lockouts 在多少次锁定登录后Email通知管理员,默认为4.

登录多次失败后的错误提示界面:

WordPress后台登录保护插件及方法

插件下载地址:http://wordpress.org/plugins/limit-login-attempts/

3. WordPress 博客后台登陆保护插件 – Login LockDown

Login LockDown插件是一款针对WordPress后台登录保护而推出的插件,使用它可以有效防止WordPress用户通过“累试法”盗取用户账号密码的情况。

Login LockDown选项进入插件参数设置界面

WordPress后台登录保护插件及方法

Max Login Retries:登陆的最大次数限制

Retry Time Period Restriction (minutes):每次登陆时间限制

Lockout Length (minutes):登陆失败后的锁定时间

Lockout Invalid Usernames?:锁定登陆失败后的用户名

插件参数设置好后,点击update settings后即可。

插件下载地址:https://wordpress.org/plugins/login-lockdown/

4. 登录保护插件 – Protected wp-login

Protected wp-login 插件简单易用,可以自定义后台登录附件的密钥参数,一旦设置后台登录地址缺少任意字符都是无法登录的。

WordPress后台登录保护插件及方法

Enable protection(启用保护)
Your secure key(你的安全密钥):如果不是包含安全密钥的地址,即使你的用户名和密码正确,都没办法登录)
Enable stealth mode(启用隐身模式):如果不是包含安全密钥的地址,都不显示登录表单)

网站设置后就可以根据生成的网址来安全登录网站后台了,其他任何错误路径都无法登录,所以,设置完成后请一定要牢记密钥参数。

插件下载地址:https://wordpress.org/plugins/protected-wp-login/