Imaginează-ți un hoț încercând în mod repetat diferite chei pentru a intra în casa ta. Un lucru similar se întâmplă în timpul unui atac de tip brute force, unde hackerii încearcă mii de combinații de parole pentru a obține acces la site-ul tău.
Acest lucru sună probabil înfricoșător, dar din fericire, îți poți apăra cu ușurință site-ul web așa cum facem noi, limitând încercările de autentificare. 🔒
Aceasta impune o limită asupra numărului de încercări de conectare înainte ca cineva să fie blocat, oferind hackerilor aproape nicio șansă de a pătrunde prin forță brută.
În acest articol, vă vom ghida prin procesul de configurare a limitelor de încercări de conectare pe site-ul dvs. WordPress. Vom explora de ce este important pentru securitatea site-ului dvs. și vă vom ghida prin pași, chiar dacă nu sunteți un expert tehnic.
Iată o prezentare generală rapidă a ceea ce vom acoperi în acest ghid:
- De ce ar trebui să limitați încercările de autentificare în WordPress?
- Cum să limitezi încercările de conectare în WordPress
- Sfaturi Pro pentru Protejarea Site-ului Tău WordPress
- Frequently Asked Questions About Limiting Login Attempts
De ce ar trebui să limitați încercările de autentificare în WordPress?
Un atac de tip brute force este o metodă de hacking prin care atacatorii folosesc încercări și erori pentru a ghici detaliile tale de autentificare.
Ei folosesc software automatizat pentru a încerca mii de combinații de nume de utilizator și parole, sperând că una va funcționa în cele din urmă.
Implicit, WordPress permite utilizatorilor să introducă o parolă de câte ori doresc. Această funcționalitate poate fi exploatată de hackeri, care folosesc scripturi pentru a rula combinații infinite până când obțin acces la site-ul tău.
Poți opri cu ușurință aceste atacuri prin limitarea numărului de încercări de autentificare eșuate.
După un anumit număr de încercări eșuate, sistemul va bloca temporar acel utilizator, făcând imposibilă ghicirea automată a parolei.
Acestea fiind spuse, să vedem cum să limităm numărul de încercări de autentificare în WordPress.
Cum să limitezi încercările de conectare în WordPress
Primul lucru pe care trebuie să-l faceți este să instalați și să activați pluginul Limit Login Attempts Reloaded. Pentru mai multe detalii, consultați ghidul nostru pas cu pas despre cum să instalați un plugin WordPress.
Versiunea gratuită este tot ce aveți nevoie pentru acest tutorial.
La activare, ar trebui să vizitați pagina Setări » Limit Login Attempts și apoi să faceți clic pe fila „Setări” din partea de sus.
Setările implicite vor funcționa pentru majoritatea site-urilor web, dar vă vom ghida prin modul în care puteți configura setările plugin-ului de securitate pentru site-ul dvs.
Pentru a fi conform cu legile GDPR, puteți bifa căsuța „Conformitate GDPR” pentru a afișa un mesaj pe pagina dvs. de conectare. Puteți afla mai multe despre GDPR în ghidul nostru despre WordPress și conformitatea GDPR.
Apoi, veți alege dacă doriți să fiți notificat atunci când cineva a fost blocat. Puteți schimba adresa de e-mail la care este trimisă notificarea, dacă doriți. Implicit, veți fi notificat a treia oară când utilizatorul este blocat.
După aceea, ar trebui să derulați în jos la secțiunea Aplicație locală, unde puteți defini câte încercări de conectare pot fi făcute și timpul de blocare pe care un utilizator va trebui să-l aștepte înainte de a putea încerca din nou.
Mai întâi, trebuie să definești câte încercări de conectare pot fi făcute. După aceea, alege câte minute va trebui să aștepte un utilizator dacă depășește acest număr de încercări eșuate. Valoarea implicită este de 20 de minute.
De asemenea, puteți crește timpul de așteptare odată ce utilizatorul a fost blocat de un anumit număr de ori. De exemplu, setările implicite nu vor permite utilizatorului să încerce să se autentifice timp de 24 de ore, odată ce a fost blocat de 4 ori.
Pentru setarea „Origini IP de încredere”, majoritatea utilizatorilor o pot lăsa așa cum este. Cu toate acestea, dacă utilizați un CDN sau un firewall pentru site precum Sucuri sau Cloudflare, este posibil să fie necesar să configurați această setare.
Vă recomandăm să verificați documentația serviciului dvs. pentru a vă asigura că pluginul poate identifica corect adresa IP reală a vizitatorului.
Nu uitați să faceți clic pe butonul „Salvează setările” din partea de jos a ecranului pentru a salva modificările.
🔍 Postare înrudită: Pentru mai multe detalii despre acest plugin, consultați recenzia completă Limit Login Attempts.
Sfaturi Pro pentru Protejarea Site-ului Tău WordPress
Limitarea încercărilor de conectare este un prim pas excelent, dar securitatea reală a site-ului web implică multiple straturi.
Iată câteva alte practici esențiale pe care le puteți urma pentru a vă menține site-urile în siguranță:
- Utilizați parole puternice: Acesta este cel mai de bază strat de securitate. Vă recomandăm să impuneți parole puternice pentru toți utilizatorii de pe site-urile dvs. și să utilizați un manager de parole pentru a le urmări.
- Adăugați Google reCAPTCHA: Dacă pagina dvs. de conectare este încă atacată, adăugarea reCAPTCHA oferă un alt strat puternic de apărare împotriva roboților automați.
- Păstrați backup-uri regulate: Niciun site web nu este 100% imun la amenințări, motiv pentru care backup-urile sunt obligatorii. Pentru multe dintre propriile noastre proprietăți web, folosim Duplicator pentru a gestiona backup-urile și migrațiile site-urilor noastre.
- Utilizați un firewall pentru site-uri web (WAF): Un firewall este una dintre cele mai bune modalități de a bloca traficul malițios înainte ca acesta să ajungă pe site-ul dvs. Pentru o soluție completă care include un WAF puternic și servicii de curățare a malware-ului, recomandăm Sucuri.
Pentru și mai multe sfaturi de securitate pentru site-uri web, asigurați-vă că consultați ghidul nostru complet de securitate WordPress.
Întrebări frecvente despre limitarea încercărilor de conectare
Iată câteva întrebări pe care cititorii noștri le pun frecvent despre limitarea încercărilor de conectare:
Ce ar trebui să fac dacă sunt blocat din propriul meu site?
Este posibil să vă blocați singur dacă introduceți parola greșită de prea multe ori. Dacă se întâmplă acest lucru, va trebui să vă deblocați manual adresa IP.
Puteți urma pașii simpli din ghidul nostru despre cum să deblocați Limit Login Attempts în WordPress.
Câte încercări de conectare ar trebui să permit?
Pentru majoritatea site-urilor web, setarea implicită de 4 încercări de conectare este un punct de plecare excelent. Aceasta oferă un echilibru puternic între menținerea securității site-ului dvs. și asigurarea că utilizatorii legitimi nu sunt blocați din greșeală.
Ce altceva pot face pentru a securiza pagina mea de conectare?
Pe lângă limitarea încercărilor de conectare, puteți adăuga întrebări de securitate pe ecranul de conectare pentru un strat suplimentar de protecție. De asemenea, puteți personaliza pagina de conectare folosind WPForms pentru a îmbunătăți atât securitatea, cât și experiența utilizatorului.
Tutorial video
Dacă nu preferați instrucțiuni scrise, atunci puteți viziona tutorialul nostru video:
Sperăm că acest tutorial v-a ajutat să învățați cum să limitați încercările de autentificare în WordPress. De asemenea, ați putea dori să consultați ghidul nostru despre cum să adăugați întrebări de securitate pe ecranul de autentificare WordPress sau selecția noastră de experți de cele mai bune pluginuri pentru pagina de autentificare.
Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.
Dennis Muthomi
Un lucru suplimentar pe care l-aș sugera este să folosiți autentificarea cu doi factori, alături de încercările de conectare limitate. Această combinație oferă un strat suplimentar de securitate, făcând și mai dificil pentru potențialii hackeri să obțină acces neautorizat la site-ul dvs. WordPress.
Jiří Vaněk
Există o altă modalitate decât un plugin? De exemplu, folosind htaccess sau un component similar? Am propriul meu server și aș dori să am această limită pe site-ul meu. Cu toate acestea, am deja destul de multe plugin-uri și nu aș dori să adaug mai multe. Deci, caut o modalitate de a face acest lucru fără un plugin.
Suport WPBeginner
We do not have a recommended way without a plugin, a snippet would be fairly complex which is why we recommend the plugin. We also recommend taking a look at our list of how many plugins can be installed on a site to help remove your fear of having too many plugins
https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Jiří Vaněk
Vă mulțumesc pentru răspuns. Căutam și eu un fragment în altă parte, dar aveți dreptate - întregul proces ar fi fost destul de complicat și practic niciunul dintre fragmentele pe care le-am găsit nu a funcționat. Am ajuns să folosesc soluția dvs. și funcționează impecabil. Deci, pentru mine, problema este rezolvată și apreciez sfatul dvs. excelent pentru îmbunătățirea securității site-ului web.
Linda Willis
Mulțumesc mult pentru acest articol foarte util despre un plugin pentru a opri numărul uriaș de atacuri de tip brute force pe care site-ul nostru le-a îndurat recent. Tocmai l-am instalat, folosind ghidul meu pas cu pas ușor de urmat pentru setările sale. Abia aștept să văd cum funcționează!
Am urmat și linkul către managerii de parole. Datorită comentariilor dvs., voi încerca din nou LastPass. Folosim Dashlane (versiunea gratuită) de câțiva ani, dar suntem frustrați de unele dintre regulile sale. Versiunea plătită LastPass pare o afacere mult mai bună. Acum trebuie să determin cum să fac tranziția... ușor!
Mulțumesc din nou!
Linda
Suport WPBeginner
Glad our article and recommendations could help
Admin
Adil
Articolul remarcabil despre securitatea site-ului web. Am folosit acest plugin pe multe dintre site-urile noastre web.
Suport WPBeginner
Thank you, glad you found the plugin helpful
Admin
kristyburkholder
Bună ziua! Acest lucru este oarecum în afara subiectului, dar am nevoie de sfaturi de la un blog consacrat. Este greu să-ți creezi propriul blog? Nu sunt foarte tehnic, dar pot să înțeleg lucrurile destul de repede. Mă gândesc să-mi fac propriul blog, dar nu știu de unde să încep. Aveți vreun sfat sau sugestie? Cu mulțumiri
Suport WPBeginner
Nu este prea dificil să începi un blog, avem un ghid despre cum să începi unul aici: https://www.wpbeginner.com/start-a-wordpress-blog/
Admin
Paul Gent
Am instalat Limit Login Attempts (da, trebuie să actualizez la ceva mai nou) și sunt atacat tot timpul. Am adăugat un utilizator nou ca administrator în încercarea de a-mi accesa propriul site web fără a fi nevoit să aștept. Dar chiar și așa, am fost deconectat înainte de a putea crea orice postare.
Are cineva vreun sfat, vă rog?
Shyam Chathuranga
Da, ai dreptate. Am folosit pluginul Limit Login Attempts tot acest timp și recent a început să blocheze toți utilizatorii în loc să blocheze atacatorul pe baza IP-ului său.
Deci, cred că trebuie să spun la revedere acestui plugin și să folosesc altceva acum.
Miguel
Recent am instalat WordFence pentru a monitoriza securitatea site-ului meu. Oferă o funcție pentru limitarea încercărilor de autentificare. Prin urmare, am dezactivat și șters Limit Login Attempts Reloaded.
Cu toate acestea, în WP Admin> Setări, rămâne Limitarea încercărilor de conectare. Știți dacă este instalat implicit cu WP și, indiferent, cum pot scăpa de el.?
Cred că suprascrie setările din WordFence.
Mulțumesc pentru timpul acordat,
Miguel
erlindawva
Salut, acest lucru este oarecum în afara subiectului, dar voiam să știu dacă blogurile folosesc editori WYSIWYG sau dacă trebuie să codificați manual cu HTML. Încep un blog în curând, dar nu am cunoștințe de codare, așa că voiam să obțin sfaturi de la cineva cu experiență. Orice ajutor ar fi foarte apreciat!
Suport WPBeginner
WordPress vine cu un editor WYSIWYG. De asemenea, vă permite să adăugați HTML pentru a scrie postări.
Admin
Jorge Manuel
Am primit astăzi mesajul „s-a depășit numărul maxim de reîncercări” – dar cu o parolă absolut corectă!
Cum este posibil acest lucru?
Am început să configurez acest site WP acum două zile, nu are conținut în afară de o temă gratuită și un titlu. Am instalat login lockdown, dar NU este activat.
Mă uimește de ce ar exista un atac BF pe un nume de site obscur cu abia 90 MB de conținut…
Alam Khan
Salut echipa WPBginner,
Mulțumesc mult pentru crearea unui conținut atât de vast și util pentru utilizatorii WordPress ca noi. Caut mereu soluții pe site-ul dvs. și obțin soluția de fiecare dată de 2-3 ani.
Astăzi este prima dată când postez un comentariu pentru problema de mai sus, folosesc pluginul Limit Login Attempts și mă ajută cu adevărat să-mi păstrez site-ul securizat, văd zilnic 10-15 încercări eșuate de autentificare, dar uneori este blocat timp de 24 de ore, ceea ce ne restricționează și pe noi. Este posibil să folosesc și Login LockDown și să blochez încercările greșite pe IP, astfel încât utilizatorii noștri legitimi să nu fie blocați.
Este posibil să folosesc pluginul Limit Login Attempts și pluginul Login LockDown în același timp pe același site web?
Mulțumesc
Alam Khan
Fondator
Suport WPBeginner
Salut Alam,
Recomandăm să folosiți Login LockDown singur și nu împreună cu limitarea încercărilor de autentificare.
Admin
cheryleduryea
Hmm, se pare că site-ul dvs. mi-a mâncat primul comentariu (era foarte lung), așa că cred că voi rezuma ce am scris și voi spune că mă bucur pe deplin de blogul dvs. Și eu sunt un scriitor aspirant de bloguri, dar încă sunt nou în toată treaba asta. Aveți vreun sfat pentru scriitorii începători de bloguri? Aș aprecia cu siguranță.
agustinpenny920
Salut, desigur că acest articol este cu adevărat bun și am învățat multe lucruri din el despre blogging. Mulțumesc.
adelaida5489
Având atât de mult conținut și articole, întâmpinați vreodată probleme de plagiat sau încălcare a drepturilor de autor? Blogul meu are mult conținut unic pe care l-am creat singur sau l-am externalizat, dar se pare că o mare parte din el apare pe tot web-ul fără acordul meu. Cunoașteți metode pentru a ajuta la prevenirea furtului de conținut? Aș aprecia cu siguranță.
Suport WPBeginner
Te rugăm să consulți ghidul nostru despre prevenirea furtului de conținut al blogului în WordPress.
Admin
Suji
Salut
Mulțumesc pentru articol. Informativ.
Există vreo opțiune de a limita încercările de autentificare fără a folosi vreun plugin?
YNS
Salut,
Cu un pachet de pluginuri de încredere (care oferă în același timp multiple alte funcționalități de securitate), nu mai este atât de greu să protejezi site-urile WordPress de atacuri precum încercările de conectare.
Cei care se plâng că funcționalitatea nu este integrată ar trebui să realizeze că extensiile de funcționalitate sunt menite să servească. Ecosistemul WordPress este pur și simplu scalabil, îmi place foarte mult. Dar este nevoie de mai mult parteneriat cu un furnizor CDN puternic. În țări precum China, un plugin bun precum JetPack devine inutil, deoarece toate IP-urile la care se conectează sunt malițioase pentru Marele Zid de Foc.
Acest blog este foarte util, mai ales atunci când promovezi proiecte de succes open source WordPress.
Brad
Unul dintre site-urile mele primește aproape 100 de încercări de autentificare pe lună. Ca mulți dintre voi, mi se pare ciudat, deoarece nu este un site de comerț electronic și nu colectăm informații despre utilizatori. Am instalat pluginul Wordfence Security, care oferă opțiuni de blocare pentru orice nume de utilizator incorect, precum și pe IP și chiar pe țări întregi.
Are, de asemenea, mai multe alte apărări care s-au dovedit a fi neprețuite. Web-ul nu este sigur fără un fel de protecție. Dacă vreunul dintre voi cunoaște unul mai bun, vă rugăm să-l împărtășiți.
Programare sigură!
Brad
Ed Dogan
Îmi place mai mult asta
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
marian chapa
salut.. am uitat parola de administrator pentru site-ul meu.. cum pot accesa pentru a edita site-ul meu
Suport WPBeginner
Vedeți ghidul nostru ce să faceți când sunteți blocat din zona de administrare WordPress.
Admin
Steve
Nimeni nu a menționat Jetpack, care are un modul numit Brute Protect. Acesta blochează automat utilizatorii de la adrese IP suspecte. Se bazează pe o rețea globală care poate urmări spammerii de pe tot web-ul.
Pete
Mulțumesc pentru un alt sfat. Folosesc BackupBuddy și îmi place că rulează automat backup-urile mele, dar permite și utilizatorilor să migreze cu ușurință site-uri pe alte servere. Mai ales trecând de la un host local la un server live.
Donna
E amuzant că primesc acest e-mail, deoarece am peste 27 de încercări pe site-ul meu peste noapte din toată lumea... Adică, serios, ce vor? Am un blog de cusut și modă? Ce încearcă să obțină prin preluarea site-ului meu și să-mi plătească? Tocmai mi-am schimbat setările acum câteva zile înainte de acest articol, deoarece am avut destul de multe hack-uri... Acum, dimineața, peste 27, ceea ce este cel mai mult pe care l-am văzut vreodată.
Connor Rickett
Este o întrebare care necesită cu adevărat un răspuns? Deoarece previne hacking-ul prin forță brută (sau cel puțin îl încetinește mult).
De ce WP nu vine cu încercări limitate de conectare din start, asta DA este o întrebare la care aș vrea să văd un articol de blog care abordează.
Iza
Folosesc Limit Login Attempts în combinație cu un alt plugin excelent de securitate numit WP-Ban. Pluginul Limit Login Attempts îmi trimite un e-mail după a doua încercare de autentificare nereușită, cred, cu IP-ul utilizatorului. Copiez acest utilizator în pluginul Ban și data viitoare, utilizatorul nu va mai putea încerca deloc autentificarea. Doar un alt strat de securitate împotriva trolling-ului.
Nika
Limit Login Attempts nu a mai fost actualizat de peste 3 ani. Este depășit. Login LockDown are o funcționalitate slabă și nu știu de ce este recomandat aici.
Acum câteva săptămâni am instalat WP Cerber în schimb.
Arată ca o soluție puternică. Face toate lucrurile așa cum era de așteptat.
Suport WPBeginner
Nu suntem de acord că Login Lockdown are o funcționalitate slabă. Face exact ceea ce spune. Nu am testat încă WP Cerber, așa că nu putem comenta despre asta.
Admin
Joris Heyndrickx
Cred că este timpul ca WordPress să aibă căi configurabile, astfel încât să putem scăpa în sfârșit de example.com/wp-admin. Am văzut cereri pentru asta, acum 8 ani.
Jon Schear
L-am folosit de câteva ori. A redus volumul obișnuit de 50 de emailuri pe oră despre notificări de blocare la 0.
Recaptcha este o altă opțiune bună, dar mult mai dificil de implementat.
Han Balk
Am trecut de la LLA la Wordfence, din cauza tuturor funcțiilor suplimentare de securitate pe care le are.
Fiecare sistem de operare are o funcție pentru a limita încercările de conectare. Știu că WordPress este un CMS și nu un sistem de operare, dar este un CMS matur și comunitatea WordPress ar beneficia enorm de o limitare de conectare încorporată, care este activată implicit. Multe site-uri WordPress sunt „vulnerabile” la încercări nelimitate de conectare, deoarece nu sunt protejate corespunzător și proprietarii nu sunt conștienți de securitate.
Nu poate fi atât de greu să încorporezi o limitare de conectare și să o activezi implicit într-una dintre viitoarele versiuni WordPress?
Howard
Limit Login Attempts nu a mai fost actualizat de câțiva ani și are câteva "goluri". Am descoperit acest lucru în jurnalele mele, unde am găsit aproape 100 de "blocări" într-o perioadă de 10 minute de la același IP. Blocările au fost activate după a 2-a încercare nereușită și trebuiau să fie pentru 72 de ore. Acestea veneau atât de repede încât a fost un DoS eficient și a necesitat efort pentru a fi oprit. Este destul de evident că script kiddie a ocolit blocarea. Atacurile de la acea adresă IP s-au oprit când am reușit în cele din urmă să o adaug pe lista de refuz în .htaccess.
.
Încă folosesc LLA pentru informațiile și notificările limitate, dar utile, dar nu mă bazez pe el pentru a-mi menține site-ul securizat.
FranE
Observ această funcționalitate pe unele dintre site-urile mele, chiar dacă nu au pluginul instalat. Este inclusă în anumite teme? Poate Genesis?
Echipa WPBeginner
Nu suntem conștienți de nicio temă care să includă această funcționalitate. Rețineți că temele nu sunt menite să adauge funcționalitate site-ului dvs. WordPress. Funcționalitatea intră sub incidența pluginurilor. Poate este ceva adăugat de gazda dvs. web?
Grayhambo
Se pare că există unele probleme de compatibilitate cu acest plugin și WP 4.0, deoarece nu a fost actualizat de peste 2 ani. Vă poate bloca accesul la panoul de administrare. Dacă se întâmplă acest lucru, atunci trebuie să dezactivați pluginul în modul obișnuit, folosind ceva de genul accesului cPanel.
Joe
Pare să funcționeze în continuare bine pe toate cele 10 site-uri mele wp
Torben Heikel Vinther
Sună ca un plugin bun și simplu, dar de ce să nu folosiți Better WP Security în schimb? BWS are o secțiune întreagă despre Limit Login Attempts ȘI multe alte probleme de securitate într-un singur plugin! În plus, BWS a fost actualizat ultima dată pe 24-08-2013. Limit Login Attempts nu a mai fost actualizat din 2012-06-1!
Personal editorial
Torben, există o mulțime de pluginuri care oferă această funcționalitate. Limit Login Attempts este un plugin simplu care face un singur lucru și îl face foarte bine. Asta nu înseamnă că BWS este o soluție rea. Este o soluție foarte bună (peste 1 milion de descărcări ale pluginului dovedesc deja acest lucru).
Admin
Nika
Folosesc pluginul Limit Login Attempts pentru site-urile mele de ceva timp. Acum acest plugin este învechit. Fiți sincer. Ați folosit Limit Login Attempts pe site-ul dvs.?
Suport WPBeginner
Deoarece a expirat, am actualizat articolul și l-am înlocuit cu pluginul login lockdown.
abdelhafidcom
ce zici de pluginul de blocare a conectării? este util? ar trebui să înlocuiesc cu acest plugin?
wpbeginner
@abdelhafidcom Și asta e bine. Face același lucru. Doar că nu a mai fost actualizat de ceva timp.
AlbertAlbs
Mulțumesc pentru că ați distribuit aceste informații despre securitatea WordPress.
ColeRuddick
Sfaturi excelente! Deoarece WordPress este cea mai utilizată platformă existentă acum, securitatea site-ului ar trebui să fie ceva ce toți utilizatorii iau în serios, iar acest plugin este de mare ajutor. Mulțumim pentru distribuire!
namaserajesh
Sunt de acord cu tine, Limit Login Attempts este un plugin foarte bun pentru a proteja blogul nostru WordPress.
joeytribbiani
Prefer Login Lock. Este compatibil oficial până la versiunea 3.3.1
http://wordpress.org/extend/plugins/login-lock/
merrittsgret
@joeytribbiani Login Lock m-a blocat efectiv pe toți de pe site-ul meu recent. Trec la Limit Login Attempts.
Aqif
prefer să nu consum gata:)
Alan
Mulțumesc pentru asta!
doug_eike
Am căutat modalități de a-mi proteja blogul, iar sugestia dvs. de plugin pare să fie utilă. O voi analiza. Mulțumesc!