WordPress如何防止暴力破解

1. 暴力破解就是黑客用程序不停试密码，像用100把钥匙挨个捅锁眼。WordPress本身有个基础防护：登录失败几次会暂时封IP，但光靠这个不够，得加装备。比如用代码在主题的functions.php里加个增强版延迟，失败一次就让对方等10秒：

add_filter('login_errors', function($a) {
    if (strpos($a, 'incorrect') !== false) {
        sleep(10); // 失败一次卡十秒，急死机器人
    }
    return $a;
});

2. 改登录网址！默认的/wp-admin/和/wp-login.php太显眼，像在街上喊“来黑我”。用插件像WPS Hide Login，或者自己写规则堵门。比如在.htaccess里把登录页伪装成别的路径：

RewriteRule ^secret-door(/.*)?$ /wp-login.php$1 [L]

3. 双因子认证（2FA）是终极铠甲，密码对了还得手机验指纹。装个插件比如Wordfence，它会强迫用户绑手机APP。就算密码被猜中，黑客缺那串动态码也进不来——就像偷了钥匙但没指纹解锁。

4. 限制尝试次数才是正经思路。用数据库记录失败次数，超限就锁IP。下面这段代码会记录每个IP的失败次数，超过5次就封24小时：

add_action('wp_login_failed', 'log_failed_attempt');
function log_failed_attempt() {
    $ip = $_SERVER['REMOTE_ADDR'];
    $transient_name = 'blocked_' . $ip;
    $attempts = get_transient($transient_name) ?: 0;
    if ($attempts++ > 5) {
        set_transient($transient_name, $attempts, 24 * HOUR_IN_SECONDS);
    }
}

5. 最后记得更密码别用admin，西瓜大棒槌那种弱密码等于没锁门。WordPress自带密码强度检测，强迫用户设复杂密码——最好带emoji那种，黑客字典里根本找不到🌚。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。