現在網路上的駭客攻擊真的是越來越猖獗,連一些不入流的駭客也跑出來鬧,而這些不入流駭客們最常使用的手法居然是猜管理者帳號及密碼,因為很多人把WordPress安裝設置好了之後根本就不會或不太知道如何去更改管理者的帳號,然後密碼也設得太過簡單,於是這些不入流的駭客就用這種試誤法,一而再,再而三的來嘗試登入我們的WordPress後台,上圖顯示的就是使用這款【Limit Login Attempts】外掛所記錄下來駭客IP的紀錄,你會發現有些駭客已經嘗試過超過上百次的登入被拒絕了,而絕大部分的登入帳號都是預設的【admin】,所以為了你的網站安全起見,還是趕快先去更改管理者登入的帳號。
這款【Limit Login Attempts】基本上可以讓使用者設定同一個IP登入幾次錯誤後鎖定限制的管理,要注意設定如果太嚴可能連自己都會被鎖住:
- 同一個網址連續登入幾次錯誤後就鎖定登入幾分鐘。
- 幾次被鎖定後就將鎖定時間延長為幾個小時。
- 還可以紀錄登入錯誤的IP位址。
現在我們就來看看如何安裝及設定這款WordPress的【Limit Login Attempts】外掛
Step 1. 進入網站的後台,在左側邊欄的地方選擇【外掛】,然後再選擇【安裝外掛】,在搜尋框的地方輸入【limit login attempts】,找到【Limit Login Attempts】 然後按【立刻安裝】按鈕。
Step 2. 安裝結束後,按【啟用外掛】。
Step 3. 啟用後在網站後台的左側邊欄選擇【設定】,然後找到剛剛新安裝好的【Limit Login Attempts】。
Step 4. 開啟【Limit Login Attempts】設定對話框,這裡是重點要注意聽。
在「鎖定」的功能後面有五個空白的選項。
-
?允許幾次嘗試:表示同一個網址連續登入多少次錯誤後就鎖定登入。如果自己不會輸入錯誤,建議可以設成2就可以了,如果自己常常有機會輸入錯誤,設3或4會比較恰當。
-
?分鐘鎖定:表示連續登入錯誤遭鎖定後,登入者必須等幾分鐘後才可以再登入。(這裡的鎖定期間是連帳號及密碼輸入正確都無法進入的意思,也就是一定得等到時間到了才能用正確的帳號及密碼登入後台)。這個數字可以考慮延長為60分鐘。
-
?次鎖定後,將時間增加為?小時:針對某個網址已經被鎖定後,又出現鎖定多少伺候,將其鎖定的時間由原來的鎖定幾分鐘延長為幾個小時。因為這表示這個網址極有可能就是惡意攻擊的駭客,所以要再將其鎖定時間延長。
-
?小時直到重設登入嘗試:表示系統要多少小時候後才會重置那些曾經嘗試登入IP的紀錄,也就是當有人嘗試登入時系統都會加以紀錄,直到設定的時間過後才會重設歸零。
管控 Cookie登入:建議勾選預設值「是」。
鎖定的提醒建議勾選紀錄IP,至於當超過?次鎖定後要不要Email給管理員,見仁見智,勾選的話要有心裡準備常常會收到通知信。工作熊是沒有勾選啦!
設定好之後【儲存設定】按鈕來儲存。
延伸閱讀:
Google Analytics的(not set)與(not provided)是什麼?
[外掛]讓WordPress也能用電子郵件通知對方留言已回覆
[外掛]Header and Footer: 驗證碼、統計追蹤碼專用的WordPress外掛
發佈留言