本站曾用過 Limit Login Attempts 這個 WordPress 的外掛程式,用以防止被暴力破解登入密碼。當有人一直以錯誤的密碼進行登入時,就會對其 IP 進行幾個小時的封鎖,然後 mail 通知你又有什麼 IP 被封鎖了,效果其實也還不錯。
不過其實只要用「.htaccess 的權限認證方式」,就可以針對 wordpress 的 wp-login.php 這個單一檔案做防護,也可以達到很好的效果。
.htaccess 認證
首先找一個安全的地方放置 .htusers 這個檔案。所謂的「安全」,是指至少不要在網頁可以被下載到的路徑。.htusers 的設定方式請參考本站另一篇文章:
密碼請不要用跟 WordPress 原本的登入密碼一樣。
編輯 wordpress 目錄下的 .htaccess,在檔案最後如入:
AuthType Basic AuthName "Restricted Area" AuthUserFile "/path/to/.htusers" <Files wp-login.php> require valid-user </Files>
如果你想進一步針對整個 wp-admin 目錄做防護,則進到 wordpress 下的 wp-admin 目錄,新增或編輯 .htaccess,一樣在檔案最後如入:
AuthType Basic AuthName "Restricted Area" AuthUserFile "/path/to/.htusers" require valid-user