魏艾斯笔记WPS Limit Login插件是一款WordPress限制登陆次数插件,通过登录页面和使用auth cookie限制可能的登录尝试次数。WordPress默认允许通过登录页面或发送特殊cookie进行无限制登录尝试,攻击者相对容易通过不断尝试密码破解(或哈希)。每天WordPress后台都会遇到无数次尝试破解,即使账号密码设计的足够复杂,攻击次数多了对主机服务器稳定性也是个冲击。WPS Limit Login插件限制了登录尝试,并在达到设置好的限制后拉黑攻击者,从而提高暴力攻击成本。
WPS Limit Login插件
在WordPress后台,插件,安装插件,搜索“WPS Limit Login”就看到了,点击“现在安装”并启用。
WPS Limit Login插件特色
- 限制连接时(针对每个IP)的重新尝试次数;
- 使用授权cookie来限制登录尝试的次数;
- 在登录页面上通知用户剩余尝试次数或锁定时间的信息;
- 可选的日志记录和电子邮件通知;
- 管理反向代理后面的服务器;
- 将IP地址列入白名单/黑名单;
- 与Sucuri网站防火墙的兼容性;
- XMLRPC网关保护;
- Woocommerce登录页面保护;
- 与其他UM参数的多站点兼容性。
WPS Limit Login插件设置
如下图所示看到设置选项,这款插件几乎不用设置。
配置Configuration:
- 20分钟内允许重试3次;
- 12小时后才可以重试;
- 2次锁定后增加锁定时间到24小时;
- 勾选后:2次锁定后发邮件通知网站管理员;
- 以上选项可以自定义更改时间。
显示信用链接:在WordPress登录页面显示“Login form protected by WPS Limit Login”字样,这个不建议勾选。
白名单Whitelist:允许无限次登录WordPress后台的 IP地址,比如你家里、办公室的IP。这个不需要填写,因为我们现在都是宽带拨号只要断电重连后就换IP了,所以填了没用。
黑名单Blacklist: 输入要阻止WordPress登录页面访问的IP地址列表,每个一行。
WPS Limit Login配套插件
老魏分享一款配套插件,WPS Limit Login用来限制恶意登录,而WPS Hide Login插件能够有效WordPress隐藏后台登录地址,是保障WordPress网站安全的另一个利器。这两款插件是同一个团队开发的。
WPS Limit Login插件测试
老魏实际测试了WPS Limit Login插件的使用效果,在输入错误账号密码后,在WordPress登录页面提示如下图所示已经输错一次了,显示还有2次机会。如果三次都错误就会被锁定12小时。也就是上面设置里面的那些选项了。即使对方不断更换代理也是可以提高攻击和破解成本的,更何况大部分网站还不值得付出那么多成本,所以足以让攻击者放弃,这款WordPress限制登陆次数插件效果还是不错的。
