Cách giới hạn số lần đăng nhập trong WordPress

Tác giả Network Engineer, T.Mười 30, 2021, 10:08:57 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách giới hạn số lần đăng nhập trong WordPress


Bạn có muốn giới hạn số lần đăng nhập trong WordPress không?

Tin tặc có thể sử dụng một cuộc tấn công brute force để cố gắng đoán mật khẩu quản trị của bạn. Nếu bạn giới hạn số lần họ có thể cố gắng đăng nhập, thì bạn sẽ giảm đáng kể cơ hội thành công của họ.

Trong bài viết này, mình sẽ chỉ cho bạn cách và lý do bạn nên hạn chế các nỗ lực đăng nhập vào trang web WordPress của mình.

1. Tại sao bạn nên giới hạn số lần đăng nhập trong WordPress?

Tấn công brute force là một phương pháp sử dụng hình thức đăng nhập rất nhiều lần với những mật khẩu khác nhau để cố gắng xâm nhập vào trang web WordPress của bạn.

Kiểu tấn công brute force phổ biến nhất là đoán mật khẩu. Tin tặc sử dụng phần mềm tự động để đoán thông tin đăng nhập của bạn để chúng có thể truy cập vào trang web của bạn.

Theo mặc định, WordPress cho phép người dùng nhập mật khẩu bao nhiêu lần tùy thích. Tin tặc có thể cố gắng khai thác điều này bằng cách sử dụng các tập lệnh nhập các kết hợp khác nhau cho đến khi họ đoán đúng thông tin đăng nhập.

Bạn có thể ngăn chặn các cuộc tấn công brute force bằng cách giới hạn số lần đăng nhập thất bại cho mỗi người dùng. Ví dụ: bạn có thể tạm thời khóa một người dùng sau 5 lần đăng nhập không thành công.


Thật không may, một số người dùng thấy mình bị khóa khỏi trang web WordPress của riêng họ sau khi nhập sai mật khẩu của họ một số lần. Nếu bạn thấy mình trong trường hợp đó, thì bạn nên làm theo các bước trong hướng dẫn của mình về cách bỏ chặn giới hạn số lần đăng nhập trong WordPress.

Chúng ta hãy xem cách hạn chế các nỗ lực đăng nhập vào trang web WordPress của bạn.

2. Cách hạn chế số lần đăng nhập trong WordPress.

Điều đầu tiên bạn cần làm là cài đặt và kích hoạt plugin Limit Login Attempts Reloaded. Để biết thêm chi tiết, hãy xem hướng dẫn từng bước của mình về cách cài đặt plugin WordPress.

Phiên bản miễn phí là tất cả những gì bạn cần cho hướng dẫn này. Sau khi kích hoạt, bạn nên truy cập trang Settings >> Limit Login Attempts, sau đó nhấp vào tab Settings ở trên cùng.

Cài đặt mặc định sẽ hoạt động đối với hầu hết các trang web, nhưng mình sẽ hướng dẫn bạn cách bạn có thể tùy chỉnh cài đặt plugin cho trang web của mình.


Để tuân thủ luật GDPR, bạn có thể nhấp vào hộp kiểm 'GDPR compliance' để hiển thị thông báo trên trang đăng nhập của mình. Bạn có thể tìm hiểu thêm về GDPR trong hướng dẫn của mình về WordPress và tuân thủ GDPR.

Tiếp theo, bạn sẽ chọn có được thông báo khi ai đó bị khóa hay không. Bạn có thể thay đổi địa chỉ email mà thông báo được gửi đến nếu bạn muốn. Theo mặc định, bạn sẽ được thông báo vào lần thứ ba người dùng bị khóa.

Sau đó, bạn nên cuộn xuống phần Local App nơi bạn có thể xác định số lần đăng nhập có thể được thực hiện và người dùng sẽ phải đợi bao lâu trước khi họ có thể thử lại.


Trước tiên, bạn cần xác định số lần đăng nhập có thể được thực hiện. Sau đó, chọn người dùng sẽ phải đợi bao nhiêu phút nếu họ vượt quá số lần thử không thành công đó. Giá trị mặc định là 20 phút.

Bạn cũng có thể tăng thời gian chờ khi người dùng đã bị khóa một số lần nhất định. Ví dụ: cài đặt mặc định sẽ không cho phép người dùng cố gắng đăng nhập trong 24 giờ sau khi họ đã bị khóa 4 lần.

Bạn không nên thay đổi cài đặt 'Trusted IP Origins' vì lý do bảo mật.

Đừng quên nhấp vào nút Save Settings ở cuối màn hình để lưu trữ các thay đổi của bạn.

3. Mẹo chuyên nghiệp về cách bảo vệ trang web WordPress của bạn.

Hạn chế các nỗ lực đăng nhập chỉ là một cách để giữ an toàn cho trang web WordPress của bạn.

Lớp bảo vệ đầu tiên đối với các trang web WordPress của bạn là mật khẩu của bạn. Bạn nên luôn sử dụng mật khẩu mạnh trên trang web WordPress của mình.

Mật khẩu mạnh có thể khó nhớ, nhưng bạn có thể sử dụng trình quản lý mật khẩu để làm điều đó dễ dàng. Nếu bạn chạy một trang web WordPress có nhiều tác giả, thì hãy xem cách bạn có thể buộc mật khẩu mạnh đối với người dùng trong WordPress.

Nếu trang đăng nhập WordPress của bạn vẫn đang bị tấn công, thì một lớp bảo vệ khác mà bạn có thể thêm là Google reCAPTCHA dành cho đăng nhập WordPress. Điều này sẽ giúp giảm thiểu các cuộc tấn công DDoS.

Không có trang web nào là an toàn 100% vì tin tặc luôn tìm ra những cách mới để xâm nhập hệ thống. Đó là lý do tại sao điều quan trọng là bạn phải luôn sao lưu đầy đủ trang web WordPress của mình. Mình khuyên bạn nên sử dụng UpdraftPlus hoặc các plugin sao lưu WordPress phổ biến khác.

Nếu trang web của bạn là một doanh nghiệp, thì mình thực sự khuyên bạn nên thêm một tường lửa để xử lý các cuộc tấn công brute force và nhiều hơn nữa. Mình sử dụng Sucuri, đảm bảo sự an toàn của mình và nếu có bất kỳ điều gì xảy ra với trang web của mình, thì nhóm của họ có trách nhiệm sửa chữa nó mà không tính thêm phí.

Để biết thêm các mẹo bảo mật, hãy nhớ xem hướng dẫn bảo mật WordPress cuối cùng của mình.

Mình hy vọng hướng dẫn này đã giúp bạn tìm hiểu cách hạn chế các nỗ lực đăng nhập trong WordPress. Bạn cũng có thể muốn tìm hiểu cách chọn lưu trữ WordPress tốt nhất hoặc xem danh sách các plugin phải có để phát triển trang web của bạn.