你好,这一节课我们为大家去分享一个安全运维的插件,关于wordpress的安全运维插件之前,我们也给大家分享了一些如WordfenceUpdraftPlus等等,这一节课我们要给大家分享的是一个轻量级的一个防护插件Loginizer

Loginizer功能介绍:

首先我们看一下这个插件它的一些核心功能,实际上只要是我们的wordpress或者是woocommerce站点的独立站的防护,它们的防护内容基本上都是类似的。

WP-Loginizer-1-功能介绍

防止暴力破解

第一个就是防止暴力破解,什么是暴力破解?

比如说别人我们都知道wordpress的默认登录地址,就是在主域名后面加上wp-admin或者wp-login.php。这个地址如果你不修改的话,它默认只要你使用wordpress都是一样的,它可以进入我们后台的登录界面,在登录界面里面就是你的用户名和密码,这个时候他就可以针对这两个信息进行各种尝试,如果你的密码特别简单,就有可能被别人多次尝试以后,然后进行暴力破解。

所以所有的安全维护插件,第一个的功能就是防止别人暴力破解。

限制登录次数:

第二个针对不同的IP,我们可以限制它的尝试次数,这也是暴力破解里面的一种方法。比如说我们限制5次,如果你的密码输错5次,直接把你这个IP给锁定,这样也可以防止我们的后台被破解掉。然后另外针对每一个用户的登录信息都存一个档,就是添加一个日志,谁登录失败了,我们都可以通过日志查看到。

管理员邮箱通知:

下面一个如果他登录失败了以后就及时给我们的管理员发邮箱,告诉我们有人试图登录我们的后台,但是他输错密码或者是输错账号了,我们有了这个信息以后,我们就可以及时进入后台去修改我们的信息。

黑名单或白名单限制:

另外当然我们也可以设置一些黑名单,白名单,就是针对一些长久试图想去登录我们站点的一些非管理员用户,我们可以把他的IP直接给他封禁掉,对于我们的管理员,我们可以设置一个豁免权,就是帮他设置一个白名单,包括 MD5的这种加密方式,另外就是在登录界面或者在注册界面,我们可以加上一个验证码,我们也可以设置一些简单的问题,比如说你登录的时候,需要你去输入一个算式的结果,或者是去输入验证码,这个也是可以的,添加一些问题,然后你通过这个问题以后才能够提交你的表单。

WP-Loginizer-2-功能介绍

无密码登录链接:

我们也可以设置一些无登录的状态,之前,我们再给大家去讲解一些防护插件的时候都有这个功能,比如说我们的独立站,如果想让别人去做一些修改或者是功能的添加,这个时候我们有一种方法,当然我们可以给他设置一个单独的管理员账号,如果你为了防止你这种信息泄露的话,你可以设置一个有效时间段的登录链接,然后发到开发者的邮箱,他直接点击这个地址,不需要账号密码,就直接可以进入我们的后台进行管理。

2FA验证:

然后当然我们也可以设置一些邮箱验证,包括一些其他的在手机上面应用的一些验证,比如说谷歌验证等等,就是它登陆的时候,我们给他设置一些条件。

修改默认登录地址:

下面一个就是去修改我们后台的登录页面,因为我们默认的登录页面就是wp-admin或者wp-login.php,我们可以把这个地址修改成其他的,这样的话首先在我们登录界面的这一个层面,我们就可以设置一套防护,他不知道我们怎么去登录后台的,他就进不来,如果他登录常规的wp-admin,就直接跳转到404,或者跳转到首页就可以了。

关闭Pingbacks和XML-RPC:

关闭我们的Pingbacks,或者是关闭我们的XML-RPC,实际上是wordpress自带的两种功能,第一种就是我们如果有人给我们评论了以后,它会有一个返回的设置,然后另外我们可以通过我们的邮件,通过我们的邮箱,然后去发布我们管理我们的内容,这两个正常我们都是要把它关闭掉的,包括一些性能优化插件,也是需要把这两个关闭掉。

Loginizer插件安装:

这实际上就是这个插件的一些主要的功能,使用起来非常简单,所以我们现在直接进入我们的后台安装这个插件,目前我们使用的版本是1.88,后期有更高的版本直接使用最新的就可以了。

WP-Loginizer-3-插件安装

安装成功以后我们激活插件,因为我们很多的插件都是给大家使用的GPL版本,所以我们是没办法在后台直接进行在线升级的。

所以大家一定要了解,所以我们安装的时候很多时候基于它的升级的内容,偶尔会有一些报错,我们不用管它,我们的插件怎么样去升级到最新的版本,在学阶段网已经给大家分享了一些方法,我们下载最新的版本以后直接进行安装,安装的时候它就会有一个替换的提醒,然后你直接替换一下就行了。

Loginizer插件使用设置:

安装成功以后我们去找到这个插件,我们现在安装的这个插件,然后在底部我们可以看到它有一个功能按钮,然后我们点击打开。

好,这个插件的功能,我们在左侧的功能按钮里面就可以看到这里面的一项一项的,下面我们就快速的给大家去过一遍。

首先我们看一下它的仪表盘里面什么内容也没有,因为我们可以看到这里会有一个订阅,就是订阅插件的官方的newsletter,根据你自己的需要,然后下面就是我们服务器的一些信息,我们可以看一下,包括它可以把我们当前的IP给我们显示出来,这样的话我们就可以把我们的管理员的IP设置为白名单。

然后另外还有一些其他的使用权限,就是我们不同的wordpress,目录的一些使用权限,我们都不需要去管它。

防暴力破解设置:

WP-Loginizer-4-防暴力破解

我们看下面一个是暴力破解,实际上我们暴力破解的防护是非常简单的,暴力破解它的主要方法就是不停的尝试,没有上限的去尝试,因为我们的密码可能比较复杂,所以他尝试一遍,除非他得到了密码,正常情况下他第一遍他是不可能成功获取到我们的后台信息的,所以他要尝试很多遍,我们怎么样才能够防止这种方法,就是我们给他限制数量,比如说你尝试了三次,我就直接把你锁定了,你就进不来了。

所以暴力破解的方法就是我们现在看到的一些内容,第一个你能够最大的尝试的次数,比如说我们最大尝试三次,如果超过三次,直接锁定15分钟,当然这个时间你可以无限的延迟,然后下面一个如果上面这个循环了5次,都是输错了,就是封了5次15分钟你还在暴力破解,这个时候我们就可以把它扩展到24小时,或者是永久的给它关闭掉。

然后另外一个就是我们的邮件通知,当他输入第几次的时候,比如说输入第三次的时候出错了,一直在出错,我们就可以认为这个人他在暴力破解,所以这个时候就可以给我们发邮件,这里就可以填写我们管理员的邮箱,然后下面当然我们可以设置一些白名单,如果是白名单的信息,当然我们就不受这个规则的约束。

比如说可能是我们的编辑人员,他可能忘记密码了,他输入了多次,这样的话我们就不需要把这个IP给他封禁掉。

然后下面一个如果被封禁的过程当中我们可以再加严,比如说你封禁了以后,它实际上还是可以进入你的后台的,它可能通过其他的浏览器也是可以进入的,虽然它的IP没有变,但这个时候我们就可以在后台直接加上一个遮罩,这样的话它就没办法去输入信息了,这个也是可以添加的好。

设置完了以后然后就保存一下就可以了。

WP-Loginizer-5-黑名单设置

然后下面一个就是黑名单,就是有一些人他输入了多次以后错误了以后,在上面就会留一个日志,日志里面我们就可以把它IP获取过来,把这些IP直接把它加到我们的黑名单里面,后面的话这些人他就没有访问我们后台的权限了。

当然这里我们可以去输入一些IP段,比如说IP从什么开始,然后从什么结束,通过这种方式,当然我们也可以进行导入,导出下面是白名单,它的设置方法是一样的,比如说你的管理员编辑店铺管理员,你都可以把它设置为白名单。

然后下面一个就是消息错误提醒,比如说他输错了以后,我们可以给他添加一个信息,这个信息正常情况下是覆盖wordpress默认的,比如说我们在wordpress后台你去登录信息的时候,如果你的邮箱输入正确,然后你去输入密码输入错误了,它就会提示你在用户下面的密码错误,这样的话就可以给这些暴力破解者一个信息,他的用户名是对的,这样的话他只需要尝试一半的努力就可以了。

在这里我们就可以扰乱他的信息,比如说我们可以告诉他你的信息输入错误或者是用户名和密码输入错误,他就不知道哪个是对的。然后另外如果封禁了以后,你的IP被封禁等等一些其他的内容,我们都可以加上一些消息提醒,告诉他你输错了。

好,然后下面一个就是我们邮箱里面发送的信息是否要激活邮箱,如果激活了以后,我们就可以收到一些登录成功的通知,我们不用管它,包括如果是白名单的我们就不提醒。

然后另外发送邮件,我们也可以通过 html的方式进行添加,然后就是我们提醒的邮箱的名字,邮箱的标题,还有我们邮箱的内容,这里我们都可以简单的去设置一下。然后通知给谁,比如说通知为管理员或者是通知到我们的店铺管理员,好,设置完了以后,然后保存一下就可以了,这就是针对暴力破解的一些。

声明:本站分享的WordPress主题/插件均遵循 GPLv2 许可协议(免费开源),相关介绍资料仅供学习参考,实际版本可能会因版本迭代或开发者调整而产生变化,如程序中涉及有第三方原创图像、设计模板、远程服务等内容,应获得作者授权后方可使用。本站不提供该程序/软件的产品授权与技术服务,亦不收取相关费用。