WordPress登录尝试限制

1. 咱们先唠唠WordPress登录那点事儿。你说你装了个WordPress，结果天天有人拿密码字典在那儿瞎试，跟抽奖似的——这事儿搁谁身上都闹心。其实啊，WordPress自带了个隐藏功能：默认就允许无限次登录尝试。对，你没听错，就像超市试吃摊随便尝，黑客能把你后台门框都踩烂。

2. 别急，咱有招治它。最简单的法子就是装插件，比如「Limit Login Attempts」这玩意儿。你往插件市场一搜，安装激活后啥也不用管，自动就开始计数了。有人连续输错五次密码？直接封IP半小时，跟班主任罚站似的。喏，后台长这样：

   // 插件核心逻辑其实就是这么个意思
   if ( $login_attempts > 5 ) {
   block_ip( $user_ip );
   sleep( 1800 ); // 半小时后再试
   }

3. 不过插件用多了会拖速度，咱硬核玩家直接上代码也行。打开主题的functions.php文件，塞进去这段：

   add_action( 'wp_login_failed', 'my_login_cooldown' );
   function my_login_cooldown() {
   $failed_attempts = get_transient( 'login_fails' ) ?: 0;
   if ( $failed_attempts > 3 ) {
       wp_die( '冷静会儿吧您，半小时后再来！' );
   }
   set_transient( 'login_fails', $failed_attempts + 1, 1800 );
   }

   这代码就跟门口保安似的，看见输错三次以上的直接摆手拦停。

4. 你以为光限制次数就完了？黑客还会换IP攻击呢！这时候得加个验证码，跟12306抢票似的整点花样。推荐用Google reCAPTCHA，注册个密钥然后装个「Google Captcha」插件，登录框立马多出个「我不是机器人」的复选框——虽然有时候自己都得点两次才能过。

5. 最后整个邪门的：直接改登录地址。默认不是wp-admin吗？咱给它改成「秘密基地」，比如把登录地址换成「/my-dog-name」。在.htaccess文件里加这么一段：

   RewriteRule ^my-dog-name/?$ /wp-login.php [NC,L]

   完事儿再把原地址屏蔽掉，黑客连门都找不着在哪儿。当然别忘了自己记牢新地址，否则就得从数据库里捞回来了。

6. 其实安全这事儿就跟防盗门似的——没有绝对保险，但多装几道锁总能吓跑毛贼。定期更新WordPress核心、用生成器搞复杂密码、限制登录尝试次数这三板斧下去，起码能挡住99%的自动化攻击。剩下的1%？那可能是你忘了自己改过的密码然后把自己锁外边了。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。