wordpress是世界上使用人数最多的博客平台,它可以搭建博客、cms、商城等各种形式的网站,你可能会觉得自己的网站流量小,安全无关紧要。但是你不知道的是,有很多黑客会用软件自动扫描互联网上的网站。
有30%的网站都是由wordpress搭建,所以很多黑客都瞄准了使用wordpress安装的网站。一些僵尸程序和黑客会利用网上泄露的数据库来不断尝试登录你的网站,他们会一遍又一遍的更换不同的用户信息登录你网站,当登录成功后,僵尸程序和恶意人员可以窃取您的数据,安装恶意软件,甚至删除您网站上的所有内容。
一旦你使用了弱口令被黑客扫描出来,你的网站就会被黑客利用了。确保您的站点远离暴力攻击者并保持其安全非常重要。虽然您可以尝试其他解决方案,例如设置强密码或保护admin目录的密码,但安装暴力保护插件是一种更为简单的方法。您需要做的就是选择最合适的插件,并让它处理工作。
什么是暴力攻击
在互联网中,暴力攻击是一种使用特定词典和组合来破解网站密码的方式,黑客会使用软件自动重复尝试不同的密码来匹配你网站的密码,直到密码被匹配成功。
几乎每一个网站每天都有被机器人扫描密码,只不过你自己不知道。
9款wordpress暴力登录保护插件
- loginizer
- limit login attempts reloaded
- wp limit login attempts
- limit attempts by bestwebsoft
- limit login attempts
- wps limit login
- jetpack
- brute force login protection
- botnet attack blocker
loginizer
loginizer是wordpress最好的开源和免费暴力登录保护插件之一。loginizer拥有800,000多个有效安装。它分为免费版和专业版,免费版功能也可以保护您的网站免受任何恶意攻击。
登录程序中的功能包括:
- 允许最大重试后阻止ip
- 允许最大锁定后的扩展锁定
- 最大锁定后向管理员发送电子邮件通知
- 黑名单ip / ip范围
- 白名单ip / ip范围
- 检查失败尝试的日志
- 创建ip范围
- 删除ip范围
- 在gnu gpl第3版下获得许可
- 安全可靠
下载地址
limit login attempts reloaded
limit login attempts reloaded(限制登录尝试重新加载)只需通过正常登录和正确的cookie限制登录尝试。停止暴力攻击限制登录尝试重新加载的插件使用该技术,以便不真实的用户可以获得站点的访问权限。
特征:
- 登录时限制重试次数(每个ip)。这是完全可定制的。
- 限制使用授权cookie以相同方式登录的次数。
- 通知用户登录页面上的剩余重试次数或锁定时间。
- 可选日志和可选电子邮件通知。
- 可以将ip和用户名列入白名单/黑名单。
- sucuri网站防火墙兼容性。
- xmlrpc网关保护。
- woocommerce登录页面保护。
- 具有额外mu设置的多站点兼容性。
- 符合gdpr标准。启用此功能后,所有记录的ip都会被混淆(md5-hashed)。
- 自定义ip源支持(cloudflare,sucuri等)
下载地址
wp limit login attempts
wp limit login attempts是另一个功能强大的wordpress强力保护插件。目前有4万多次的有效安装,评分也有4.5分。
限制登录尝试登录保护,保护站点免受暴力攻击.brute force attack旨在成为获取站点访问权限的最简单方法:它一遍又一遍地尝试用户名和密码,直到它进入.wp limit登录尝试暂时限制登录尝试次数和阻止ip。它通过验证码验证来检测机器人。
去吧settings > wp limit login。
特征
- 登录安全 – 限制登录尝试并跟踪用户登录尝试
- 验证码
- 轻量级插件
- 减缓蛮力攻击的机制
- 重定向到主页,当异常请求时(它将停止黑客工具)
- 符合gdpr标准。启用此功能后,所有记录的ip都会被混淆(md5-hashed)。
下载地址
limit attempts by bestwebsoft
limit attempts插件是wordpress的安全解决方案,可以保护您的网站免受垃圾邮件和暴力攻击。限制每个用户登录尝试失败次数,并根据您的设置阻止用户ip一段时间。这将停止自动脚本生成大量不同的组合并破解您的网站。
管理黑名单和白名单,接收电子邮件通知,隐藏被阻止或列入黑名单的ip的网站表单以及其他保证数据安全的高级功能。
特征:
- 此插件将自动阻止尝试登录的ip地址并超过登录尝试次数。
- 允许手动将ip标记为whitelist和blacklist。
- 您可以隐藏阻止的ip中的信息,例如登录,注册。
- 您可以向被阻止的用户显示任何自定义的captcha错误消息以及无效的尝试。
- 多语言支持。
下载地址
limit login attempts
limit login attempts(限制登录尝试)是另一个流行的wordpress登录保护插件,此插件的主要目标是为暴力攻击提供庇护。
特征 :-
登录安全 – 限制登录尝试并跟踪用户登录尝试
暴力攻击保护 – 限制允许的登录尝试次数并保护用户帐户免受攻击。
反垃圾邮件 – 谷歌recaptcha,以保护用户免受垃圾邮件。
ip限制 – 限制ip或ip范围以防止无效登录攻击。
重命名或更改登录页面url – 将默认的wordpress登录url(slug)重命名为与原始wp-login.php或wp-admin不同的内容,以防止自动暴力攻击。
显示登录页面上的剩余尝试 – 它将提供一个选项,通知用户他们在登录页面上的剩余尝试。
垃圾邮件防护 – 提供垃圾邮件保护,并在进行一定次数的尝试后禁用/阻止ip地址。
禁用xml-rpc – 在wordpress中简单禁用xml-rpc的选项。大多数wordpress用户不需要xml-rpc,可以禁用它以防止自动暴力攻击。
非活动用户注销 – 如果用户未在指定的时间内执行任何操作,则自动注销。
管理员电子邮件警报 – 通过电子邮件警报通知用户帐户的ip阻止和异常活动。
下载地址
limit login attempts还有一个专业版:brute force login security, spam protection & limit login attempts
wps limit login
wps limit login是wordpress的全功能强力登录保护插件。默认情况下,wordpress允许无限次登录尝试,这使得暴力攻击变得有些容易。有wps限制登录以拯救您的网站。
通过登录页面和使用身份验证cookie限制可能的连接尝试次数。默认情况下,wordpress允许通过登录页面或发送特殊cookie进行无限制的登录尝试。这允许密码(或散列)相对容易地通过强力破解。
wps限制登录限制登录尝试并在达到指定限制后阻止对internet地址的进一步尝试,使暴力攻击变得困难或不可能。
产品特点:
限制登录期间的重试次数(对于每个ip)。这是完全可定制的。
以相同方式使用授权cookie限制登录尝试次数。
通知用户登录页面上的剩余尝试次数或锁定时间。
记录和可选的电子邮件通知。
管理反向代理后面的服务器。
可以将ip地址列入白名单/黑名单。
与sucuri网站的防火墙兼容。
xmlrpc网关保护。
对登录页面的woocommerce保护。
多站点兼容其他mu设置。
下载地址
jetpack
由wordpress.com提供的jetpack提供了一个完整的解决方案(国内服务器不要使用,因为你无法打开),可以保护您的wordpress网站免受僵尸程序和恶意软件的破坏,这些僵尸程序试图破解弱登录密码。它被称为暴力保护领域中最大的插件。
该插件还有助于垃圾邮件过滤和停机时间监控。最重要的是,您可以扫描恶意软件并记录对站点的更改。您网站上被阻止的垃圾邮件评论或恶意攻击的数量将存储在“ 蛮力攻击和恶意软件防护-按需备份和还原设置”页面中。
除了暴力保护之外,jetpack还支持站点性能和管理。它涉及图像优化,移动响应式设计以及高级网站统计信息和分析功能,以了解您的受众。
优点
- 提供除安全性之外的众多功能,包括性能优化和站点管理
- 提供两因素身份验证(2fa)
缺点
- 需要升级以使用高级功能
- 国内用户无法使用
下载地址
brute force login protection
与其他登录尝试限制插件类似,brute force login protection阻止自动脚本和坏人反复向您的wordpress登录页面输入用户名和密码。
该插件安装在20,000多个站点上,并获得4.1星评级,显然可以解决该问题。
几乎不需要任何配置该插件就可以工作,并且你可以从“设置”页面查看被拦截的ip列表或者手动阻止ip,并且支持ip白名单。
与limit login attempts reloaded类似,此插件允许您在失败的尝试后延迟登录,从而有助于减缓暴力攻击。在两次失败的登录尝试之间,用户有5至10分钟的短时间间隔。
如果您的管理员ip地址被阻止,则需要编辑.htaccess文件(如果您具有ftp访问权限-文件传输协议访问权限),然后删除“ deny from abcd ”行(abcd是您自己的ip地址)以登录到您的网站。如果您没有ftp访问权限怎么办?您只能通过其他ip地址访问管理面板,然后将其从“ 阻止的ip”列表中删除。
优点
- 减慢蛮力攻击
- 暂时禁止ip地址时,向管理员发送电子邮件
- 简单易用
缺点
- 该插件仅通过2.7.0 wordpress发行版进行了测试
- 最新更新是在2年前,可能会导致网站的安全风险
- (该插件已经更新)
下载地址
botnet attack blocker
bonet attack blocker采取了另一个方向来保持wordpress网站免受暴力攻击者和网络犯罪的侵害。从插件开发人员的角度来看,ip地址和位置阻止的效率不足以将机器人拒之门外。
例如,通过使用1,000台计算机同时输入登录信息,并在锁定之前在每个设备上接受5次登录尝试,一个人最多可以尝试5,000个不同的密码。
为了避免这种限制,bonet attack blocker基本上会忽略ip地址的差异。在特定时间内看到5次不成功的尝试(默认情况下)后,它仅阻止所有管理员登录尝试。
但是,插件的运行方式可能会引起一些问题。在总共连续5次失败尝试后,bonet attack blocker阻止了所有来自不同ip地址的管理员登录尝试。结果,这可能会误导许多不打算入侵该网站的用户。
优点
- 允许部分ip地址
- 添加密钥以绕过锁定
缺点
- 容易误伤正常登录的用户
- 3年未更新
下载地址
你该使用哪款插件?
介绍了这9款增强wordpress登录安全的插件,那么你可能会有些疑惑,我应该安装哪款插件呢?
实际上每款插件都可以起到登录保护功能,你只需要研究下哪款的功能满足你更多的安全需求。