WordPress防止暴力破解密码的插件:Limit Login Attempts

Limit Login Attempts插件可以防止WORDPRESS网站的密码不被暴力破解。这个插件小巧玲珑，功能简单，但是对于网站安全非常有效。这款插件的功能就是限制登录失败的次数，包括普通的输入账号密码的登陆，还有使用cookie的方式登录。

默认的情况下，WORDPRESS允许无限次的登陆尝试，如果密码设置不够复杂，容易被人直接暴力破解。Limit Login Attempts插件对每个IP地址设置了一个登陆次数，如果超过这个次数，就会在一个特定的时间范围内，比如24小时之内，将这个IP地址摄入黑名单。防止暴力破解的方式。其实，这样也有助于减轻服务器的压力。

下图是Limit Login Attempts插件安装启动之后的配置界面：

参数配置区域需要说明一下：

4 allowed retries，表示允许尝试登陆4次数；

20 minutes lockout，表示尝试登陆次数到了之后，一直失败之后，lockout 20分钟，就是阻止这个IP 20分钟；

2 lockouts increase lockout time to 1000 housrs，表示如果被2次lockout之后，就直接lockout 1000小时；（这种情况，一定是有人在尝试暴力破解密码）

12 hours until retries are reset，表示至少要12个小时之后，尝试登陆才能reset。（不是很能理解这个配置，保持默认就好了）

以上几个参数，都可以根据自己的需要修改。
如果真有人尝试暴力破解密码，达到登陆失败次数上限之后，你会收到一封邮件，如下图：


让WORDPRESS可以通过SMTP服务器发送邮件，请参考https://www.tracymc.cn/archives/2080。

Limit Login Attempts插件官方下载地址：https://wordpress.org/plugins/limit-login-attempts/