手机小菜的博客

之前看到霖博客的一篇博文《wordpress登入安全》，于是小菜马上就在博客放上了代码测试了下，今天一进邮箱完全就被吓到了，全是警告邮件（看下图），虽然说wordpress的安全性很强，但完全不管，随着时间的推移还是有一点被试出来的可能的，即使不会被猜出，这样频繁的访问也会加重我们服务器的负担，影响访问速度。所以我们还是有必要限制一下登入密码的尝试次数。

相信大家也从图片中看出来了，不要用默认的admin作为登入用户名，修改方法自己百度下吧

今天小菜就为大家介绍几款小菜在网上搜罗到的wordpress登入安全插件，话说wordpress安全相关的插件还真不太多。

1.Login LockDown
这是一款很轻巧的登入安全插件，可以简单的限制同IP登入密码的尝试次数，记录登入IP。插件界面为英文，小菜简单的介绍下选项含义：

1.最大登录重试次数
2.重试时间段限制（分钟）
3.锁定时间（分钟）
4.锁定无效用户名？（用不存在的用户名登录时是否计入登录失败）
5.屏蔽登录失败信（就是指是否提示登录者用户名或密码无效）

下载方式：直接在后台搜索Login LockDown安装

2.Limit Login Attempts
这也是一款轻巧的登入安全插件，功能比Login LockDown略多一点，但是这款插件很久没更新了，而Login LockDown一直在更新。插件界面也为英文。小菜也简单介绍下:

Lockout 锁定：
allowed retries 允许重试次数，默认为4次。超过则该IP被禁止登录尝试。
minutes lockout 在被禁止后，多少分钟后可以再次尝试，默认为20分钟后。
lockouts increase lockout time to X hours 在多少次被禁止登录后，将禁止多少小时，默认为4次被锁后，禁止24小时
hours until retries are reset 设置多长时间后重置某IP登录尝试的计数，默认是12小时后清零登录尝试次数

Site Connection 站点连接方式
Direct connection 直接连接
From behind a reversy proxy 从一个转向代理后

只要你看到显示你的两个IP地址一样就不用管这个选项，如果不一样就选第二个，一般都是直接连接

Handle cookie login 处理cookie方式登录，保持默认吧

Notify on lockout 出现登录尝试锁定时提醒

登入用户名不要用默认的admin，这样被试出来的可能性就相当低了。
Log IP 记录IP地址，默认勾选
Email to admin after X lockouts 在多少次锁定登录后Email通知管理员，默认为4. 这个随便你
下载方式：直接在后台搜索安装

3.Better WP Security
最后带来的这个是重量级的安全软件，不仅可以限制同IP登入密码的尝试次数，记录登入IP黑名单。还可以防黑，定时备份数据库等等。这个插件可以检测出你的wordpress存在的漏洞，可以自动修复，还可以一键开启安全防护。更多的就自己体会吧。

有一点要注意，最好不要允许 写入WordPress核心文件，不然当你不想用Better WP Security时，如果没修改回来就卸载了Better WP Security，那很可能你的博客就打不开了，当然你懂的话，就无所谓了。
下载方式：直接在后台搜索安装

最后附上霖博客的博客后台登录失败时发送邮件通知管理员代码把他添加到主题function即可

// 博客后台登录失败时发送邮件通知管理员

function wp_login_failed_notify(){
    date_default_timezone_set('PRC');
    $admin_email = get_bloginfo('admin_email');
    $to = $admin_email;

    $subject = '【登录失败】有人使用了错误的用户名或密码登录『' . get_bloginfo('name') . '』';

    $message = '『' . get_bloginfo('name') . '』有一条登录失败的记录产生，若登录操作不是您产生的，请及时注意网站安全！

';
    $message .= '登录名：' . $_POST['log'];
    $message .= '
尝试的密码：' . $_POST['pwd'];
    $message .= '
登录的时间：' . date("Y-m-d H:i:s");
    $message .= '
登录的 IP：' . $_SERVER['REMOTE_ADDR'];
    $message .= '

';
    $message .= '您可以： 进入' . get_bloginfo('name') . '»';

    wp_mail( $to, $subject, $message, "Content-Type: text/html; charset=UTF-8" );
}

add_action('wp_login_failed', 'wp_login_failed_notify');

代码来至于霖博客《WORDPRESS登录保护》http://youthlin.com/wp/2014552.html

ps:跟新了个免插件的通用方法《免插件利用.htpasswd为你的博客添加两道防线》