保护你的WordPress登录:Limit Login Attempts

2009-05-16 1:01 | 来源: 原创 | 作者: Donald | 评论: 2条评论

WordPress的登录页面一直很“友好”，甚至友好得过了头。我们在登录很多电子邮箱，论坛和网上银行时，这些站点一般都会限制你的尝试登录次数。达到一定次数后就会显示验证码，或者暂时阻止来自这个IP的登录请求，以此来达到避免密码被暴力破解。今天介绍的插件可以让你的WordPress博客也具有这个特性。

此插件名为Limit Login Attempts，登录尝试限制～它的设置页面如下：

screenshot005411

设置挺丰富，比另一个同类插件要丰富和完善些。

Statistics 统计

Total lockouts 总锁定数，这里记录的是达到尝试次数上线而被锁定的数量

Options 选项

Lockout 锁定：

X allowed retries 允许重试的次数，默认为4次。超过则该IP被禁止登录尝试，禁止时间见下。

X minutes lockout 这个和上面的选项相关，在被禁止后，多少分钟后可以再次尝试，默认为20分钟后。

X lockouts increase lockout time to X hours 在多少次被禁止登录后，将禁止时间增加到多少小时，默认为4次被锁后，请24小时后再来～

X hours until retries are reset 这个是设置多长时间后重置某IP登录尝试的计数，默认是24小时后重置，也就是尝试次数和锁定计数归零。

Site Connection 站点连接方式

Direct connection 直接连接

From behind a reversy proxy 从一个转向代理后

一般来说站点都是直接连接的，当然也有一些情况，比如服务器的缓存或者负载均衡会让站点处于转向代理后。这个插件有自动检测功能，如果你看到“It appears the site is reached directly”,那么就请不要修改默认的设置了。

Handle cookie login 处理cookie方式登录

Notify on lockout 出现登录尝试锁定时提醒

Log IP 记录IP地址，比较重要。万一有情况有助于分析。

Email to admin after X lockouts 在多少次锁定登录后Email通知管理员，默认为4.

screenshot-11

上图是当登录失败后且尚有尝试次数剩余时的登录页面，页面会提示无效的用户名或密码，以及还有多少次尝试机会。注意那个无效用户名或密码提示，这个提示也比默认的Wordpress登录要安全些。默认的wordpress会在用户名正确而密码错误时只提示“密码错误”，这可以认为是一个潜在的安全风险，毕竟这样会使“别有用心”者试探出你的用户名。

screenshot-21

上图是尝试登录次数已达上限后的登录页面，提示尝试次数过多，请20分钟再试。

Blog的安全包括两部分，一部分是服务器的安全，比如你的cpanel的帐号与密码，各文件夹的权限等等；另一部分则是我们天天接触的 wordpress的安全，毕竟没人愿意自己的博客后台被人暴力突破吧。前者有点高深，做好帐号的安全工作，使用强健的密码，注意文件夹权限，剩下的就看自己的RP了；而Wordpress这部分，我们可以通过安装一些插件来提高安全性。不过，如果你每次都需要数次尝试才能想起来自己的wordpress 密码的话，是否要使用这个插件就看你自己了，嘿嘿，可别把自己锁外面了。

Limit Login Attempts插件下载页面

Limit Login Attempts作者插件页