Bạn có lo ngại rằng tin tặc đang cố gắng đăng nhập vào trang web WordPress của bạn không? Bạn đúng là như vậy.
Tin tặc đang sử dụng các phương pháp thử và sai để đoán thông tin đăng nhập và đột nhập vào các trang web WordPress. Trên thực tế, trên một trang WordPress, trang đăng nhập WordPress là trang bị tấn công nhiều nhất.
Sau khi tin tặc đột nhập vào khu vực bảng điều khiển quản trị của bạn, họ có thể kiểm soát toàn bộ trang web của bạn. Họ sẽ cài đặt phần mềm độc hại, backdoor, phá hoại trang web của bạn, quảng cáo và bán các sản phẩm bất hợp pháp, lấy cắp thông tin cá nhân của người dùng, gửi thư rác cho khách truy cập trang web của bạn và thực hiện các hoạt động độc hại khác.
May mắn thay, bạn có thể bảo vệ trang đăng nhập của mình bằng cách giới hạn số lần đăng nhập mà người dùng được cấp để nhập thông tin đăng nhập chính xác. Trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách thiết lập giới hạn số lần đăng nhập trên trang web WordPress.
TL; DR: Bằng cách hạn chế các nỗ lực đăng nhập vào trang web WordPress của mình, bạn có thể ngăn tin tặc cố gắng xâm nhập vào trang web của mình. Cách dễ nhất và hiệu quả nhất để bật tính năng này trên trang web của bạn là sử dụng một plugin. Cài đặt MalCare trên trang web của bạn. Nó đi kèm với tường lửa và bảo vệ đăng nhập. Điều này bảo vệ trang web của bạn chống lại các cuộc tấn công vũ phu.
Nỗ lực đăng nhập giới hạn WordPress là gì?
Theo mặc định, WordPress cho phép đăng nhập vào trang web của bạn không giới hạn. Bạn có thể thử nhiều cách kết hợp tên người dùng và mật khẩu tùy thích.
Tin tặc nhận thức được điều này và khai thác cài đặt này. Đầu tiên, họ biên dịch một cơ sở dữ liệu về tên người dùng và mật khẩu thường được sử dụng, cùng với dữ liệu bị đánh cắp hoặc dữ liệu đã mua. Tiếp theo, họ lập trình bot để truy cập các trang web WordPress và thử hàng nghìn cách kết hợp tên người dùng và mật khẩu trong vòng chưa đầy vài phút.
Khi làm như vậy, tin tặc có thể đột nhập vào nhiều trang web WordPress. Đây được gọi là Tấn công vũ phu khi họ truy cập trang web của bạn với hàng nghìn yêu cầu đăng nhập trong vài phút.
Sử dụng phương pháp hack này, tin tặc có tỷ lệ thành công tốt (khoảng 10%) phần lớn là do người dùng WordPress có xu hướng đặt thông tin đăng nhập yếu. Mặc dù 10% có vẻ là một con số thấp, nhưng thực tế là có hàng triệu trang web WordPress, chúng có thể xâm nhập vào hàng nghìn trang web ngay lập tức.
Bằng cách giới hạn số lần đăng nhập, bạn có thể ngăn chặn tin tặc và bot của chúng theo dõi.
Người dùng sẽ được cấp một số lần giới hạn để nhập thông tin xác thực đăng nhập chính xác. Ví dụ, bạn có thể cấp ba lần thử. Nếu người dùng không nhập đúng thông tin đăng nhập cả ba lần, họ sẽ bị khóa tài khoản của mình.
Họ sẽ được cung cấp các tùy chọn để khôi phục thông tin đăng nhập của họ như:
- Liên hệ với quản trị viên.
- Sử dụng tùy chọn ‘quên mật khẩu’ để đặt lại mật khẩu bằng cách trả lời một số câu hỏi.
- Chứng minh danh tính của họ thông qua xác minh OTP hoặc xác minh email.
- Giải quyết một hình ảnh xác thực để chứng minh họ là người chứ không phải bot.
Một khi bot cố gắng đăng nhập ba lần, chúng sẽ phải đối mặt với những trở ngại này. Họ sẽ không thể tiến xa hơn và sẽ chuyển sang mục tiêu tiếp theo.
Do đó, biện pháp bảo mật này có thể bảo vệ trang web của bạn khỏi tin tặc và ngăn chặn một thế giới rắc rối. Tiếp theo, chúng tôi sẽ hướng dẫn bạn cách thiết lập giới hạn số lần đăng nhập trên WordPress
Bạn có biết rằng trang đăng nhập WordPress là trang bị tấn công nhiều nhất trên trang web của bạn không? Nhấp để Tweet
Làm thế nào để giới hạn nỗ lực đăng nhập trên trang web WordPress của bạn?
Có hai cách để hạn chế số lần đăng nhập vào trang web WordPress của bạn:
- Sử dụng plugin (dễ dàng)
- Thủ công (khó)
Trước tiên, chúng tôi sẽ hướng dẫn bạn cách sử dụng plugin vì plugin này đơn giản, nhanh chóng và không có rủi ro lỗi.
1. Giới hạn nỗ lực đăng nhập bằng plugin
Có một số plugin cho phép đăng nhập giới hạn trên trang web WordPress của bạn. Vậy làm thế nào để bạn chọn đúng?
Tìm kiếm một plugin dễ thiết lập và sẽ tự động hóa quy trình cho bạn. Ngoài ra, hãy đảm bảo plugin của bạn cung cấp báo cáo về những lần thử mà plugin đã chặn để bạn có thể xem liệu plugin có thực sự hoạt động hay không.
Chúng tôi đã chọn Plugin bảo mật MalCare để minh họa cách hạn chế số lần đăng nhập vào trang web của bạn. Nó đáp ứng các yêu cầu mà chúng tôi đã liệt kê ở trên. Nó cũng không chỉ giới hạn các nỗ lực đăng nhập và giữ cho trang web của bạn luôn được bảo vệ.
Với MalCare, trang web của bạn sẽ có số lần đăng nhập giới hạn dựa trên CAPTCHA. Điều này có nghĩa là nếu người dùng nhập sai thông tin đăng nhập nhiều hơn ba lần, họ sẽ được yêu cầu giải CAPTCHA.
Sau khi giải quyết CAPTCHA, người dùng có thể thử đăng nhập lại. Hoặc họ có thể sử dụng Quên mật khẩu? tùy chọn để truy xuất thông tin đăng nhập của họ.
Hãy bắt đầu:
Bước 1: Cài đặt MalCare trên trang web của bạn. Kích hoạt plugin và truy cập nó từ bảng điều khiển WordPress của bạn.
Bước 2: Nhập địa chỉ email của bạn và chọn Trang web an toàn ngay bây giờ.
Bước 3: MalCare sẽ chuyển hướng bạn đến trang tổng quan độc lập của nó, nơi nó sẽ tự động quét trên trang web của bạn.
Bước 4: Số lần đăng nhập có giới hạn sẽ tự động được kích hoạt trên trang web của bạn. Bây giờ, bạn phải tự hỏi làm cách nào để sử dụng WordPress giới hạn số lần đăng nhập?
Nếu bạn thử đăng nhập bằng thông tin đăng nhập sai, bạn sẽ bị chặn thử lại.
Khi bạn chọn Nhấp vào đây, bạn sẽ thấy CAPTCHA như vậy:
Sau khi giải quyết CAPTCHA, bạn có thể đăng nhập lại vào trang web của mình. Trong trường hợp bạn không thể nhớ thông tin đăng nhập của mình, bạn có thể sử dụng tùy chọn Bạn mất mật khẩu? tùy chọn.
Đó là nó. Bạn đã giới hạn thành công số lần đăng nhập vào trang web của mình. Ngoài ra, MalCare cũng xây dựng một bức tường lửa mạnh mẽ để ngăn chặn bất kỳ chương trình xấu hoặc lưu lượng truy cập độc hại nào truy cập vào trang web của bạn. Nó cung cấp cho bạn một báo cáo về tất cả các lần đăng nhập. Bạn có thể truy cập điều này trên trang tổng quan:
Bạn có thể thấy những lần thử không thành công và những lần đăng nhập thành công. Bạn cũng có thể xem những cái mà MalCare đã xác định là đáng ngờ và bị chặn tự động.
Bây giờ, nếu plugin WordPress không phải là phương pháp dành cho bạn, chúng tôi đã hướng dẫn chi tiết cách bạn có thể triển khai các lần đăng nhập giới hạn WordPress mà không cần plugin. Nhưng phương pháp này phức tạp và dễ xảy ra lỗi, vì vậy hãy tiến hành một cách thận trọng.
2. Giới hạn số lần đăng nhập theo cách thủ công
Bạn có thể thêm tính năng bảo vệ đăng nhập có giới hạn vào trang web của mình bằng cách chèn thủ công đoạn mã vào tệp WordPress trên trang web của mình. Tuy nhiên, chúng tôi phải cảnh báo bạn rằng mỗi khi bạn thực hiện thay đổi thủ công đối với tệp WordPress, bạn có nguy cơ phá vỡ trang web của mình . Những sai sót nhỏ nhất cũng dẫn đến những vấn đề lớn.
Nếu bạn muốn tiếp tục với phương pháp này, chúng tôi thực sự khuyên bạn nên thực hiện một hoàn tất sao lưu của trang web của bạn. Trong trường hợp xảy ra sự cố, bạn có thể nhanh chóng khôi phục bản sao lưu của mình và đưa trang web của bạn trở lại bình thường. Bạn có thể sao lưu một cách dễ dàng bằng cách cài đặt Plugin sao lưu BlogVault trên trang web của bạn hoặc chọn từ một trong số plugin sao lưu tốt nhất.
Khi bạn đã có một bản sao lưu tại chỗ, hãy làm theo các bước bên dưới:
Bước 1: Đăng nhập vào tài khoản lưu trữ của bạn và truy cập vào cPanel của bạn. Tại đây, chọn Trình quản lý tệp.
Bước 2: Mở public_html thư mục (hoặc thư mục chứa trang web của bạn). Đi tới wp-content> Chủ đề.
Bước 3: Chọn thư mục chủ đề hoạt động của bạn. Bên trong, tìm functions.php tập tin. Để minh họa, tên chủ đề đang hoạt động của chúng tôi là Blog cá nhân, vì vậy chúng tôi đã chọn thư mục này.
Bước 4: Nhấp chuột phải và chọn Chỉnh sửa. Tệp sẽ mở và bạn có thể thực hiện các thay đổi tại đây. Chèn mã sau vào tệp:
function check_attempted_login ($ user, $ username, $ password) {
if (get_transient (‘tryted_login’)) {
$ datas =get_transient (‘fixed_login’);
if ($ datas [‘try’]> =3) {
$ Until =get_option (‘_transient_timeout_’. ‘tryted_login’);
$ time =time_to_go ($ cho đến khi);
return new WP_Error ('too_many_tried', sprintf (__ (' LỖI :Bạn đã đạt đến giới hạn xác thực, bạn sẽ có thể thử lại sau% 1 $ s.'), $ time));
}
}
trả lại $ người dùng;
}
add_filter (‘xác thực’, ‘check_attempted_login’, 30, 3);
function login_failed ($ username) {
if (get_transient (‘tryted_login’)) {
$ datas =get_transient (‘fixed_login’);
$ datas [‘đã thử’] ++;
if ($ datas [‘try’] <=3)
set_transient (‘tryted_login’, $ datas, 300);
} khác {
$ datas =array (
‘Đã thử’ => 1
);
set_transient (‘tryted_login’, $ datas, 300);
}
}
add_action (‘wp_login_failed’, ‘login_failed’, 10, 1);
function time_to_go ($ timestamp)
{
// chuyển đổi dấu thời gian mysql thành thời gian php
$ period =array (
“Thứ hai”,
“Phút”,
“Giờ”,
“Ngày”,
"Tuần",
“Tháng”,
“Năm”
);
$ lengths =array (
“60”,
“60”,
“24”,
“7”,
“4,35”,
“12”
);
$ current_timestamp =time ();
$ chênh lệch =abs ($ current_timestamp - $ timestamp);
cho ($ i =0; $ difference> =$ lengths [$ i] &&$ i
$ chênh lệch / =$ lengths [$ i];
}
$ chênh lệch =vòng ($ chênh lệch);
if (Isset ($ chênh lệch)) {
nếu ($ chênh lệch! =1)
$ period [$ i]. =“s”; $ output =“$ chênh lệch $ period [$ i]”;
Mã này sẽ giới hạn số lần đăng nhập là ba lần.
Bước 5: Lưu tệp và thoát.
Sau khi mã này được nhúng vào trang web của bạn, người dùng có ba lần thử nhập thông tin đăng nhập chính xác. Nếu họ không làm như vậy, họ sẽ bị khóa quyền truy cập vào tài khoản của mình trong một khoảng thời gian tạm thời.
Lý do duy nhất bạn nên chọn phương pháp này là nếu bạn muốn giảm thiểu việc sử dụng các plugin trên trang web của mình và tự bật tính năng này. Ngoài ra, việc sử dụng plugin để xử lý công việc này cho bạn sẽ an toàn và dễ dàng hơn nhiều.
Đó là nó! Bạn đã giới hạn thành công các lần đăng nhập vào trang web của mình và do đó đã ngăn chặn tin tặc và bot truy cập vào trang web của bạn!
Cũng nên đọc:Cách khắc phục sự cố đăng nhập WordPress không an toàn
Luôn có mặt lợi và mặt hại đối với bất kỳ thứ gì bạn triển khai trên trang web WordPress của mình. Vì vậy, trước khi bạn tiếp tục bật Các nỗ lực đăng nhập giới hạn trên trang web của mình, chúng tôi sẽ hướng dẫn bạn qua những ưu điểm và nhược điểm. Điều này sẽ giúp bạn xác định xem tính năng này có phù hợp với trang web của bạn hay không.
Bằng cách hạn chế các nỗ lực đăng nhập vào trang web của mình, bạn có thể ngăn chặn tin tặc và bot xấu cưỡng bức trang đăng nhập của bạn và giành quyền truy cập.
Việc khóa tạm thời là đủ để ngăn chặn bot và khiến chúng di chuyển khỏi trang web của bạn.
Như chúng tôi đã đề cập, trong một cuộc tấn công brute force, các bot sẽ cố gắng kết hợp hàng nghìn tên người dùng và mật khẩu. Với mọi nỗ lực, bot sẽ gửi một yêu cầu đến máy chủ web của bạn.
Máy chủ web của bạn cung cấp tài nguyên để chạy các tác vụ và chức năng trên trang web của bạn bao gồm cả các yêu cầu đăng nhập. Nếu một bot tấn công trang web của bạn với hàng nghìn yêu cầu trong một phút, nó có thể làm quá tải máy chủ của bạn và khiến nó gặp sự cố.
Trang web của bạn sẽ tạm thời không có sẵn cho khách truy cập.
Máy chủ web của bạn có tài nguyên hạn chế để chạy trang web của bạn. Nếu bạn vượt quá tài nguyên của mình, máy chủ của bạn sẽ bị quá tải.
Nếu bạn đang sử dụng gói lưu trữ được chia sẻ, điều này có thể ảnh hưởng đến các trang web khác trên cùng một máy chủ.
Khi các bot đang cố gắng đăng nhập hàng trăm lần, trang web của bạn đang sử dụng quá nhiều tài nguyên máy chủ. Điều này sẽ nhắc nhà cung cấp dịch vụ lưu trữ của bạn tạm thời đình chỉ… trang web để tránh bất kỳ ảnh hưởng nào đến các trang web khác trên máy chủ. Họ cũng làm điều đó để bảo vệ lợi ích của chính họ.
Đó là điều duy nhất chúng tôi có thể nghĩ ra. Không có lý do nào khác khiến bạn không nên triển khai bảo vệ đăng nhập trên trang web của mình. Nếu bạn đang tìm kiếm một giải pháp thay thế số lần đăng nhập giới hạn WordPress, thì bạn có thể thử xác thực 2 yếu tố. Điều này cũng sẽ bảo vệ trang đăng nhập WordPress của bạn. MalCare đã ra mắt phiên bản beta của xác thực 2 yếu tố hoặc bạn có thể sử dụng Google Authenticator cho việc này.
Điều đó nói rằng, các nỗ lực đăng nhập có giới hạn của WordPress rất dễ thực hiện và bảo vệ trang web của bạn khỏi tin tặc. Chúng ta có thể thấy rằng ưu điểm vượt trội hơn nhiều so với nhược điểm khi nói đến việc hạn chế các nỗ lực đăng nhập và bảo vệ trang web của bạn.
WordPress là CMS (Hệ thống quản lý nội dung) phổ biến nhất trên thế giới. Nhưng sự phổ biến này thu hút sự chú ý của tin tặc.
Các trang web WordPress liên tục bị tin tặc nhắm mục tiêu. Vì vậy, điều quan trọng hơn là bạn phải thực hiện nhiều biện pháp bảo mật trên trang web của mình. Do trang đăng nhập WordPress là trang bị tấn công nhiều nhất, nên việc hạn chế các nỗ lực đăng nhập là một cách tốt để bắt đầu.
Nếu bạn muốn bảo vệ trang đăng nhập WordPress của mình hơn nữa, bạn có thể thấy các tài nguyên sau hữu ích:
Bảo mật đăng nhập WordPress
Trang đăng nhập bảo vệ bằng mật khẩu với xác thực HTTP
Bảo vệ trang web WordPress của bạn trước các cuộc tấn công vũ phu
Xác thực hai yếu tố
Nếu bạn đang tìm kiếm một giải pháp bảo mật toàn diện, dễ dàng nhưng mạnh mẽ, chúng tôi khuyên bạn nên sử dụng plugin MalCare. Nó thường xuyên quét trang web của bạn, thiết lập tường lửa mạnh, giới hạn số lần đăng nhập và cảnh báo cho bạn nếu có bất kỳ điều gì đáng ngờ. Nó bảo vệ trang web của bạn suốt ngày đêm.
Bảo mật trang web WordPress của bạn Chống lại tin tặc với MalCare! 
Bạn có nên giới hạn nỗ lực đăng nhập trên trang web WordPress của mình không?
Ưu điểm của Nỗ lực đăng nhập giới hạn
Nhược điểm của Nỗ lực Đăng nhập Giới hạn
Lời kết