WordPress如何设置登录时间限制

1. 先说为啥要搞登录时间限制。你想啊，万一有人半夜三更拿你管理员账号瞎搞，或者暴力破解密码，这不添乱吗？所以得给WordPress上个闹钟，到点自动踢人下线，或者限制尝试登录次数。这玩意儿不算复杂，但得折腾代码——别怕，跟着我来，一步步整明白。

2. 最直接的招数是用插件，比如"WP Limit Login Attempts"这类。但咱是专业选手，能写代码就别靠插件，省得网站拖慢。先从简单的开始：限制登录尝试次数。打开你主题的functions.php文件（路径一般是/wp-content/themes/你的主题/），往里塞这段：

add_filter('authenticate', 'check_login_attempts', 30, 3);
function check_login_attempts($user, $username, $password) {
    $max_attempts = 3; // 最多试3次
    $lockout_time = 300; // 锁5分钟（300秒）

    $transient_name = 'login_attempts_' . $_SERVER['REMOTE_ADDR'];
    $attempts = get_transient($transient_name);

    if ($attempts >= $max_attempts) {
        return new WP_Error('too_many_attempts', '嘿，试太多次了，等会儿再来吧！');
    }

    if (is_wp_error($user)) {
        $attempts = empty($attempts) ? 1 : $attempts + 1;
        set_transient($transient_name, $attempts, $lockout_time);
    }

    return $user;
}

这代码干了啥？它用Transient API存每个IP的尝试次数。超3次就报错，等5分钟才能再试。注意啊，$_SERVER['REMOTE_ADDR']可能不靠谱，有些服务器用代理，得改成$_SERVER['HTTP_X_FORWARDED_FOR']，但得先确认环境。

3. 光限制次数不够，还得卡时间点。比如只允许早8点到晚10点登录。加这段到functions.php：

add_action('wp_login', 'check_login_time', 10, 2);
function check_login_time($user_login, $user) {
    $current_hour = current_time('H');
    if ($current_hour < 8 || $current_hour > 22) {
        wp_logout();
        wp_die('非工作时间不能登录，上班再来吧！');
    }
}

这里用了current_time拿当前小时数，小于8或大于22就强制退出。但有个漏洞：万一用户已经登录了，咋办？所以得再加个定时检查：

add_action('init', 'check_session_time');
function check_session_time() {
    if (is_user_logged_in()) {
        $login_time = get_user_meta(get_current_user_id(), 'last_login_time', true);
        if (empty($login_time)) {
            update_user_meta(get_current_user_id(), 'last_login_time', time());
        } else {
            $current_time = time();
            if (($current_time - $login_time) > 3600) { // 1小时自动下线
                wp_logout();
                wp_redirect(home_url());
                exit;
            }
        }
    }
}

这代码每页加载都检查登录时间，超1小时就踢人。但注意别在后台页面乱踢，得加个is_admin()判断，不过简单起见先这样。

4. 你可能想，万一我自己要熬夜改站呢？得留个后门。加个白名单功能：

function is_whitelisted_ip() {
    $whitelist = ['192.168.1.100', '10.0.0.2']; // 替换成你的IP
    return in_array($_SERVER['REMOTE_ADDR'], $whitelist);
}

// 然后在check_login_time里加个判断：
if (!is_whitelisted_ip()) {
    // 执行时间限制
}

这样你自己的IP就能随便登录了。

5. 最后，记得处理错误信息别太直白，免得暴露安全设置。比如把默认的"无效用户名"改成"用户名或密码错误"，统一提示：

add_filter('login_errors', 'generic_login_errors');
function generic_login_errors() {
    return '搞错了，再试试吧！';
}

这能避免黑客通过错误信息猜出用户名是否存在。

6. 整完这些，最好清空浏览器缓存试试效果。万一锁了自己，就去数据库删Transient记录——在wp_options表里找_transient_login_attempts_开头的行。代码这玩意儿就是边写边调，别怕崩。

总之呐，登录限制就像给门加个定时锁，既防贼又不碍自己事。WordPress灵活得很，随便改几行代码就能定制，比插件轻巧多了。要是搞不定，回头多看几遍，或者扔评论区咱再唠唠。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。