WordPress后台登录的默认表单就是 用户名、密码这两项,如果WordPress网站管理员设置的用户名和密码太过简单的话,就会比较容易被攻击者恶意破解,影响WordPress网站的安全性。这里WPYOU为大家汇总介绍几种非常实用的高级WordPress后台登录安全保护插件和方法,具体如下:
1. 代码实现后台登录安全参数
在当前网站使用的主题的 functions.php 文件中,添加以下代码:
//ModifyAdminLoginURL-Meta
add_action(‘login_enqueue_scripts’,’login_protection’);
function login_protection(){
if($_GET[‘name’] != ‘youname’)header(‘Location: https://www.wpyou.com/’);
}
添加代码后,后台登录的默认地址https://www.wpyou.com/wp-login.php 就无法登录了,只能使用添加自定义参数后的唯一的地址 https://www.wpyou.com/wp-login.php?name=youname 来进入了,如果不是这个地址,就会自动跳转到 https://www.wpyou.com/。
当然你也可以修改 if($_GET[‘name’] != ‘youname’) 里面的 name 和 yourname 这2个参数,自定义为你想要的参数路径;最重要的不用忘了修改里面的 https://www.wpyou.com/ 为你的网站网址。
2. WordPress 防破解限制用户登录次数插件 – Limit Login Attempts
Limit Login Attempts 插件,它的作用在于用户登录失败超过多少次后,就锁定这个用户名再提交登录请求,同时记录测试的用户名和来源 IP,如果你发现某个IP经常如此,将IP添加到服务器防火墙禁止访问即可。
插件设置界面如下:
插件相关设置参数介绍:
Statistics 统计
Total lockouts 总锁定数,这里记录的是达到尝试次数上线而被锁定的次数
Options 选项
Lockout 锁定:
- X allowed retries 允许重试的次数,默认为4次。超过则该IP被禁止登录尝试,禁止时间见下。
- X minutes lockout 这个和上面的选项相关,在被禁止后,多少分钟后可以再次尝试,默认为20分钟后。
- X lockouts increase lockout time to X hours 在多少次被禁止登录后,将禁止时间增加到多少小时,默认为4次被锁后,请24小时后再来~
- X hours until retries are reset 这个是设置多长时间后重置某IP登录尝试的计数,默认是24小时后重置,也就是尝试次数和锁定计数归零。
Site Connection 站点连接方式
- Direct connection 直接连接
- From behind a reversy proxy 从一个转向代理后
一般来说站点都是直接连接的,当然也有一些情况,比如服务器的缓存或者负载均衡会让站点处于转向代理后。这个插件有自动检测功能,如果你看到“It appears the site is reached directly”,那么就请不要修改默认的设置了。
Handle cookie login 处理cookie方式登录
Notify on lockout 出现登录尝试锁定时提醒
- Log IP 记录IP地址,比较重要。万一有情况有助于分析。
- Email to admin after X lockouts 在多少次锁定登录后Email通知管理员,默认为4.
登录多次失败后的错误提示界面:
插件下载地址:http://wordpress.org/plugins/limit-login-attempts/
3. WordPress 博客后台登陆保护插件 – Login LockDown
Login LockDown插件是一款针对WordPress后台登录保护而推出的插件,使用它可以有效防止WordPress用户通过“累试法”盗取用户账号密码的情况。
Login LockDown选项进入插件参数设置界面
Max Login Retries:登陆的最大次数限制
Retry Time Period Restriction (minutes):每次登陆时间限制
Lockout Length (minutes):登陆失败后的锁定时间
Lockout Invalid Usernames?:锁定登陆失败后的用户名
插件参数设置好后,点击update settings后即可。
插件下载地址:https://wordpress.org/plugins/login-lockdown/
4. 登录保护插件 – Protected wp-login
Protected wp-login 插件简单易用,可以自定义后台登录附件的密钥参数,一旦设置后台登录地址缺少任意字符都是无法登录的。
Enable protection(启用保护):
Your secure key(你的安全密钥):如果不是包含安全密钥的地址,即使你的用户名和密码正确,都没办法登录)
Enable stealth mode(启用隐身模式):如果不是包含安全密钥的地址,都不显示登录表单)
网站设置后就可以根据生成的网址来安全登录网站后台了,其他任何错误路径都无法登录,所以,设置完成后请一定要牢记密钥参数。
插件下载地址:https://wordpress.org/plugins/protected-wp-login/
发表评论