Föreställ dig en tjuv som upprepade gånger försöker med olika nycklar för att bryta sig in i ditt hem. Något liknande händer under en brute force-attack, där hackare provar tusentals lösenordskombinationer för att få åtkomst till din webbplats.
Det låter förmodligen skrämmande, men lyckligtvis kan du enkelt försvara din webbplats som vi gör genom att begränsa inloggningsförsök. 🔒
Detta begränsar hur många gånger någon kan försöka logga in innan de blir utelåsta, vilket ger hackare nästan ingen chans att bryta sig in med brute force.
I den här artikeln guidar vi dig genom processen att ställa in gränser för inloggningsförsök på din WordPress-sajt. Vi kommer att utforska varför det är viktigt för din webbplats säkerhet och leda dig genom stegen, även om du inte är en teknisk expert.
Här är en snabb översikt över vad vi kommer att täcka i den här guiden:
- Varför du bör begränsa inloggningsförsök i WordPress?
- Hur man begränsar inloggningsförsök i WordPress
- Proffstips för att skydda din WordPress-webbplats
- Frequently Asked Questions About Limiting Login Attempts
Varför du bör begränsa inloggningsförsök i WordPress?
En brute force-attack är en hackningsmetod där angripare använder försök och misstag för att gissa dina inloggningsuppgifter.
De använder automatiserad programvara för att prova tusentals användarnamn och lösenordskombinationer, i hopp om att en så småningom fungerar.
Som standard tillåter WordPress användare att ange ett lösenord så många gånger de vill. Den här funktionen kan utnyttjas av hackare, som använder skript för att köra oändliga kombinationer tills de får åtkomst till din webbplats.
Du kan enkelt stoppa dessa attacker genom att begränsa antalet misslyckade inloggningsförsök.
Efter ett visst antal misslyckade försök kommer systemet att låsa ut användaren tillfälligt, vilket gör automatisk lösenordsgissning omöjlig.
Med det sagt, låt oss titta på hur man begränsar antalet inloggningsförsök i WordPress.
Hur man begränsar inloggningsförsök i WordPress
Det första du behöver göra är att installera och aktivera pluginet Limit Login Attempts Reloaded. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Gratisversionen är allt du behöver för den här handledningen.
Efter aktivering bör du besöka sidan Inställningar » Limit Login Attempts och sedan klicka på fliken 'Inställningar' högst upp.
Standardinställningarna fungerar för de flesta webbplatser, men vi kommer att guida dig genom hur du kan konfigurera säkerhetspluginets inställningar för din webbplats.
För att följa GDPR-lagarna kan du klicka på kryssrutan 'GDPR-efterlevnad' för att visa ett meddelande på din inloggningssida. Du kan lära dig mer om GDPR i vår guide om WordPress och GDPR-efterlevnad.
Därefter väljer du om du vill bli meddelad när någon har blivit utelåst. Du kan ändra e-postadressen dit meddelandet skickas om du vill. Som standard kommer du att meddelas tredje gången användaren blir utelåst.
Därefter bör du skrolla ner till avsnittet Local App, där du kan definiera hur många inloggningsförsök som tillåts och hur länge en användare måste vänta innan de kan försöka igen.
Först måste du definiera hur många inloggningsförsök som tillåts. Därefter väljer du hur många minuter en användare måste vänta om de överskrider det antalet misslyckade försök. Standardvärdet är 20 minuter.
Du kan också öka väntetiden när användaren har blivit utelåst ett visst antal gånger. Till exempel, standardinställningarna kommer inte att tillåta användaren att försöka logga in på 24 timmar efter att de har blivit utelåsta 4 gånger.
För inställningen 'Betrodda IP-ursprung' kan de flesta användare lämna den som den är. Men om du använder en CDN eller webbplatsbrandvägg som Sucuri eller Cloudflare, kan du behöva konfigurera den här inställningen.
Vi rekommenderar att du kontrollerar din tjänstdokumentation för att säkerställa att pluginet korrekt kan identifiera besökarens verkliga IP-adress.
Glöm inte att klicka på knappen 'Spara inställningar' längst ner på skärmen för att spara dina ändringar.
🔍 Relaterat inlägg: För mer information om detta plugin, se vår kompletta recension av Limit Login Attempts.
Proffstips för att skydda din WordPress-webbplats
Att begränsa inloggningsförsök är ett bra första steg, men verklig webbplatssäkerhet involverar flera lager.
Här är några andra viktiga metoder du kan följa för att hålla dina webbplatser säkra:
- Använd starka lösenord: Detta är det mest grundläggande säkerhetslagret. Vi rekommenderar att tvinga fram starka lösenord för alla användare på dina webbplatser och att använda en lösenordshanterare för att hålla reda på dem.
- Lägg till Google reCAPTCHA: Om du märker att din inloggningssida fortfarande är under attack, ger tillägget av reCAPTCHA ytterligare ett kraftfullt försvarslager mot automatiserade botar.
- Gör regelbundna säkerhetskopior: Ingen webbplats är 100 % immun mot hot, vilket är anledningen till att säkerhetskopior är icke-förhandlingsbara. För många av våra egna webbplatser använder vi Duplicator för att hantera våra webbplats säkerhetskopior och migreringar.
- Använd en webbplatsbrandvägg (WAF): En brandvägg är ett av de bästa sätten att blockera skadlig trafik innan den når din webbplats. För en allt-i-ett-lösning som inkluderar en kraftfull WAF och tjänster för borttagning av skadlig kod rekommenderar vi Sucuri.
För ännu fler tips om webbplatssäkerhet, se vår ultimata guide för WordPress-säkerhet.
Vanliga frågor om att begränsa inloggningsförsök
Här är några frågor som våra läsare ofta ställer om att begränsa inloggningsförsök:
Vad ska jag göra om jag blir utelåst från min egen webbplats?
Det är möjligt att låsa dig ute om du anger fel lösenord för många gånger. Om detta händer måste du manuellt blockera din IP-adress.
Du kan följa de enkla stegen i vår guide om hur man avblockerar Limit Login Attempts i WordPress.
Hur många inloggningsförsök ska jag tillåta?
För de flesta webbplatser är standardinställningen på 4 inloggningsförsök en bra utgångspunkt. Detta ger en stark balans mellan att hålla din webbplats säker och att se till att legitima användare inte låses ute av misstag.
Vad mer kan jag göra för att säkra min inloggningssida?
Förutom att begränsa inloggningsförsök kan du lägga till säkerhetsfrågor på din inloggningsskärm för ett extra skyddslager. Du kan också anpassa din inloggningssida med WPForms för att förbättra både säkerhet och användarupplevelse.
Videohandledning
Om du inte föredrar skriftliga instruktioner, kan du titta på vår videoguide:
Vi hoppas att den här handledningen hjälpte dig att lära dig hur du begränsar inloggningsförsök i WordPress. Du kanske också vill se vår guide om hur du lägger till säkerhetsfrågor på WordPress inloggningsskärm eller vårt experttips om de bästa plugins för inloggningssidan.
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Dennis Muthomi
En ytterligare sak jag skulle föreslå är att använda tvåfaktorsautentisering tillsammans med begränsade inloggningsförsök. Denna kombination ger ett extra säkerhetslager, vilket gör det ännu svårare för potentiella hackare att få obehörig åtkomst till din WordPress-webbplats.
Jiří Vaněk
Finns det något annat sätt än ett plugin? T.ex. genom att använda htaccess eller liknande komponent? Jag har en egen server och vill gärna ha denna begränsning på min webbplats. Jag har dock redan relativt många plugins och vill inte lägga till fler. Så jag letar efter ett sätt att göra det utan ett plugin.
WPBeginner Support
We do not have a recommended way without a plugin, a snippet would be fairly complex which is why we recommend the plugin. We also recommend taking a look at our list of how many plugins can be installed on a site to help remove your fear of having too many plugins
https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Jiří Vaněk
Tack för ditt svar. Jag letade också efter ett kodavsnitt någon annanstans, men du har rätt – hela processen skulle ha varit ganska komplicerad, och praktiskt taget inget av de kodavsnitt jag hittade fungerade. Jag använde till slut din lösning, och den fungerar felfritt. Så, för mig är problemet löst, och jag uppskattar ditt utmärkta tips för att förbättra webbplatsens säkerhet.
Linda Willis
Tack så mycket för den här mycket hjälpsamma artikeln om ett plugin för att stoppa det enorma antalet brute force-attacker som vår webbplats har utsatts för nyligen. Jag har precis installerat det och följt din lättanvända steg-för-steg-guide för dess inställningar. Kan knappt vänta med att se hur det fungerar!
Följde också länken till lösenordshanterare. Tack vare era kommentarer ska jag försöka med LastPass igen. Vi har använt Dashlane (gratisversionen) i några år, men är frustrerade över några av dess regler. LastPass betalversion låter som ett mycket bättre erbjudande. Nu gäller det att bestämma hur man gör bytet... enkelt!
Tack igen!
Linda
WPBeginner Support
Glad our article and recommendations could help
Admin
Adil
Den utmärkta artikeln om webbplatssäkerhet. Jag har använt detta plugin på många av våra webbplatser.
WPBeginner Support
Thank you, glad you found the plugin helpful
Admin
kristyburkholder
God dag! Detta är lite off topic men jag behöver lite råd från en etablerad blogg. Är det svårt att sätta upp en egen blogg? Jag är inte särskilt teknisk men jag kan lista ut saker ganska snabbt. Jag funderar på att göra min egen men jag är inte säker på var jag ska börja. Har du några tips eller förslag? Med tack
WPBeginner Support
Det är inte alltför svårt att starta en blogg, vi har en guide om hur man startar en här: https://www.wpbeginner.com/start-a-wordpress-blog/
Admin
Paul Gent
Jag har Limit Login Attempts (ja, jag behöver uppdatera till något nyare) och blir attackerad hela tiden. Jag har lagt till en ny användare som administratör i ett försök att kunna komma åt min egen webbplats utan att behöva vänta. Men även då har jag blivit utkastad innan jag kan skapa några inlägg.
Har någon några råd tack?
Shyam Chathuranga
Ja, du har rätt. Jag har använt pluginet Limit Login Attempts hela tiden och nyligen började det blockera alla användare istället för att blockera angriparen baserat på hans IP.
Så, jag antar att jag måste säga adjö till det pluginet och använda något annat nu.
Miguel
Jag installerade nyligen WordFence för att övervaka min webbplats säkerhet. Det erbjuder en funktion för att begränsa inloggningsförsök. Följaktligen avaktiverade och raderade jag Limit Login Attempts Reloaded.
Men inom WP Admin> Inställningar finns fortfarande Limit Login Attempts. Vet du om det installeras som standard med WP och oavsett, hur kan jag bli av med det.?
Jag tror att det åsidosätter inställningarna i WordFence.
Tack för din tid,
Miguel
erlindawva
Hej, detta är lite vid sidan av ämnet men jag ville veta om bloggar använder WYSIWYG-redigerare eller om man måste koda manuellt med HTML. Jag startar en blogg snart men har ingen kodningskunskap så jag ville få råd från någon med erfarenhet. All hjälp skulle vara mycket uppskattad!
WPBeginner Support
WordPress levereras med en WYSIWYG-redigerare. Det låter dig också lägga till HTML för att skriva inlägg.
Admin
Jorge Manuel
Jag fick meddelandet ‘exceeded maximum retries’ idag – men med ett absolut korrekt lösenord!
Hur kan det vara?
Jag började precis sätta upp den här WP-sidan för två dagar sedan, den har inget innehåll förutom ett gratis tema och en titel. Jag installerade login lockdown, men det är INTE aktiverat.
Det förbryllar mig varför det skulle finnas en BF-attack på ett obskyrt sidnamn med knappt 90 MB innehåll…
Alam Khan
Hej WPBginner’s Team,
Tack så mycket för att ni skapar sådant enormt och användbart innehåll för WordPress-användare som oss. Jag söker alltid efter lösningar på er webbplats och får alltid en lösning sedan 2-3 år tillbaka.
Idag är första gången jag skriver en kommentar för ovanstående problem, jag använder Limit Login Attempts-plugin och det hjälper mig verkligen att hålla min webbplats säker, per dag ser jag 10-15 misslyckade inloggningsförsök, men ibland är den låst i 24 timmar, vilket begränsar oss också. Är det möjligt att använda Login LockDown också och blockera felaktiga försök per IP, så att våra legitima användare inte blockeras.
Är det möjligt att använda pluginet Limit Login Attempts och pluginet Login LockDown samtidigt på samma webbplats?
Tack
Alam Khan
Grundare
WPBeginner Support
Hej Alam,
Vi rekommenderar att du använder Login LockDown ensamt och inte tillsammans med limit login attempts.
Admin
cheryleduryea
Hmm, det ser ut som att din webbplats åt min första kommentar (den var superlång) så jag antar att jag bara sammanfattar vad jag skrev och säger att jag verkligen njuter av din blogg. Jag är också en aspirerande bloggskribent men jag är fortfarande ny på hela grejen. Har du några tips för nybörjarbloggare? Jag skulle verkligen uppskatta det.
agustinpenny920
Hej, naturligtvis är den här artikeln genuint bra och jag har lärt mig mycket av den angående bloggning. tack.
adelaida5489
Med så mycket innehåll och artiklar, stöter du någonsin på problem med plagiat eller upphovsrättsintrång? Min blogg har mycket unikt innehåll som jag antingen har skapat själv eller outsourcat, men det verkar som att mycket av det dyker upp överallt på webben utan mitt medgivande. Känner du till några metoder för att förhindra att innehåll stjäls? Jag skulle verkligen uppskatta det.
WPBeginner Support
Se vår guide om att förhindra skrapning av blogginnehåll i WordPress.
Admin
Suji
Hej
Tack för artikeln. Informativ.
Finns det något alternativ för att begränsa inloggningsförsök utan att använda några plugins?
YNS
Hej,
Med en samling pålitliga plugins (som samtidigt erbjuder flera andra säkerhetsfunktioner) är det inte längre så svårt att skydda WordPress-sajter från attacker som inloggningsförsök.
De som klagar på att funktionen inte är inbyggd bör inse vad funktionsutökningarna är avsedda att tjäna. WordPress ekosystem är bara skalbart, jag gillar det verkligen. Men behöver mer partnerskap med kraftfull CDN-leverantör. I länder som Kina blir ett bra plugin som JetPack oanvändbart eftersom alla IP-adresser det ansluter till är skadliga för den stora brandväggen.
Den här bloggen är mycket användbar, särskilt när man marknadsför framgångsrika open source WordPress-projekt.
Brad
En av mina webbplatser får nästan 100 inloggningsförsök per månad. Som många av er tycker jag att det är konstigt eftersom det inte är en e-handelsplats och vi samlar ingen användarinformation. Jag installerade Wordfence Security-plugin som erbjuder utelåsningsalternativ för alla felaktiga användarnamn samt per IP och till och med hela länder.
Den har också flera andra skydd som har visat sig vara ovärderliga. Nätet är inte säkert utan någon form av skydd. Om någon av er känner till ett bättre, dela gärna med er.
Säker programmering!
Brad
Ed Dogan
Jag gillar det här bättre
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
marian chapa
hej.. jag glömde mitt administratörslösenord för min webbplats.. hur kan jag få tillgång till att redigera min webbplats
WPBeginner Support
Se vår guide vad du ska göra när du är utelåst från WordPress adminområde.
Admin
Steve
Ingen har nämnt Jetpack, som har en modul som heter Brute Protect. Den blockerar användare från misstänkta IP-adresser automatiskt. Den bygger på ett globalt nätverk som kan spåra spammare från hela webben.
Pete
Tack för ytterligare ett tips. Jag använder BackupBuddy och jag älskar att det automatiskt kör mina säkerhetskopior men det gör det också enkelt för användare att migrera webbplatser till andra servrar. Särskilt när man går från en lokal värd till en live-server.
Donna
Det är roligt att jag får det här mejlet eftersom jag har upp till 27 försök på min webbplats över natten från hela världen... Jag menar, vad vill de egentligen? Jag har en blogg om sömnad och mode? Vad försöker de vinna genom att ta över min webbplats och betala dem?? Jag ändrade precis mina inställningar för några dagar sedan före den här artikeln eftersom jag fick ganska många hack. Nu i morse över 27, vilket är det mest jag någonsin har sett.
Connor Rickett
Är det en fråga som verkligen behöver ett svar? Eftersom det förhindrar brute force-hackning (eller åtminstone saktar ner det avsevärt).
Varför WP inte kommer med begränsade inloggningsförsök direkt, nu ÄR DET en fråga som jag skulle vilja se ett blogginlägg som behandlar.
Iza
Jag använder Limit Login Attempts i kombination med ett annat bra säkerhetsplugin som heter WP-Ban. Limit Login Attempts-pluginet skickar mig ett e-postmeddelande efter, tror jag, andra misslyckade inloggningsförsök med användarens IP-adress. Jag lägger in den här användaren i Ban-pluginet och nästa gång kan användaren inte försöka logga in alls. Bara ytterligare ett säkerhetslager mot troll.
Nika
Limit Login Attempts har inte uppdaterats på över 3 år. Det är föråldrat. Login LockDown har dålig funktionalitet och varför det rekommenderas här vet jag inte.
För några veckor sedan installerade jag WP Cerber istället.
Det verkar vara en robust lösning. Den gör allt som förväntat.
WPBeginner Support
Vi håller inte med om att Login Lockdown har dålig funktionalitet. Den gör exakt vad den säger. Vi har inte testat WP Cerber ännu så vi kan inte kommentera det.
Admin
Joris Heyndrickx
Jag tror att det är dags att WordPress borde ha konfigurerbara sökvägar så att vi äntligen kan bli av med example.com/wp-admin. Jag såg förfrågningar om detta för 8 år sedan.
Jon Schear
Jag har använt detta ett par gånger. Minskat den vanliga mängden på 50 e-postmeddelanden per timme om utloggningsmeddelanden till 0.
Recaptcha är också ett bra alternativ, men mycket svårare att implementera.
Han Balk
Jag bytte från LLA till Wordfence, på grund av alla extra säkerhetsfunktioner det har.
Varje operativsystem har en funktion för att begränsa inloggningsförsök. Jag vet att WordPress är ett CMS och inte ett OS, men det är ett moget CMS och WordPress-communityt skulle ha stor nytta av en inbyggd inloggningsbegränsning som är aktiverad som standard. Många WordPress-sajter är "sårbara" för obegränsade inloggningsförsök eftersom de inte är ordentligt skyddade och ägarna inte är säkerhetsmedvetna.
Det kan väl inte vara så svårt att bygga in en inloggningsbegränsning och aktivera den som standard i någon av kommande WordPress-versioner?
Howard
Limit Login Attempts har inte uppdaterats på ett par år och har några "hål" i sig. Jag upptäckte detta i mina loggar, där jag hittade nästan 100 "låsningar" under en 10-minutersperiod från samma IP. Låsningarna aktiverades efter det 2:a misslyckade försöket och skulle vara i 72 timmar. De kom så snabbt att det var en effektiv DoS och krävde en del ansträngning för att stoppa det. Det är ganska uppenbart att script kiddie har kringgått låsningen. Attackerna från den IP-adressen upphörde när jag äntligen kunde lägga till den i neklistan i .htaccess.
.
Jag använder fortfarande LLA för den begränsade men användbara informationen och aviseringarna, men jag förlitar mig inte på den för att hålla min webbplats säker.
FranE
Jag märker den här funktionaliteten på några av mina webbplatser, även om de inte har pluginet installerat. Ingår det i vissa teman? Kanske Genesis?
WPBeginner Staff
Vi är inte medvetna om några teman som inkluderar denna funktionalitet. Kom ihåg att teman inte är avsedda att lägga till funktionalitet till din WordPress-webbplats. Funktionalitet hör hemma i plugins. Kanske är det något som lagts till av din webbhotell?
Grayhambo
Det verkar finnas vissa kompatibilitetsproblem med detta plugin med WP 4.0, eftersom det inte har uppdaterats på över 2 år. Kan låsa dig ute från adminpanelen. Om detta händer måste du inaktivera pluginet på vanligt sätt, med något som cPanel-åtkomst.
Joe
Verkar fortfarande fungera bra på alla mina 10 wp-sajter
Torben Heikel Vinther
Låter som ett bra och enkelt plugin, men varför inte använda Better WP Security istället? BWS har en hel sektion om Limit Login Attempts OCH många andra säkerhetsproblem i ett enda plugin! Dessutom uppdaterades BWS senast 2013-8-24. Limit Login Attempts har inte uppdaterats sedan 2012-6-1!
Redaktionell personal
Torben, det finns många plugins som erbjuder denna funktionalitet. Limit Login Attempts är ett enkelt plugin som gör en sak och gör det riktigt bra. Det betyder inte att BWS är en dålig lösning. Det är en mycket bra lösning (över 1 miljon nedladdningar av pluginet bevisar det redan).
Admin
Nika
Jag har använt Limit Login Attempts-pluginet för mina webbplatser ett tag. Nu är detta plugin föråldrat. Var ärlig. Använde du Limit Login Attempts på din webbplats?
WPBeginner Support
Eftersom det har gått ut har vi uppdaterat artikeln och ersatt den med pluginet Login Lockdown.
abdelhafidcom
vad sägs om inloggningsblockeringsplugin? är det användbart? ska jag ersätta med detta plugin?
wpbeginner
@abdelhafidcom Det är också bra. Det gör samma sak. Det har bara inte uppdaterats på ett tag.
AlbertAlbs
Tack för att du delade denna WordPress-säkerhetsinformation.
ColeRuddick
Utmärkt tips! Eftersom WordPress är den mest använda plattformen som finns nu, bör webbplatssäkerhet vara något som alla användare tar på allvar och detta plugin är till stor hjälp. Tack för att du delade med dig!
namaserajesh
Håller med dig, Limit Login Attempts är ett mycket bra plugin för att skydda vår WordPress-blogg.
joeytribbiani
Jag föredrar Login Lock. Det är officiellt kompatibelt upp till version 3.3.1
http://wordpress.org/extend/plugins/login-lock/
merrittsgret
@joeytribbiani Login Lock blockerade nyligen alla från min webbplats. Jag byter till Limit Login Attempts.
Aqif
jag föredrar att inte konsumera färdigt :)
Alan
Tack för detta!
doug_eike
Jag har letat efter sätt att skydda min blogg, och ditt pluginförslag ser ut att kunna vara till hjälp. Jag ska ta en titt på det. Tack!