不久前,我安装了限制登录尝试重新加载插件,它工作正常。
然而,由于我收到了太多未经授权的登录尝试,我还实现了一个。wp登录时的htaccess密码。php文件本身,当我转到/wp登录时,它确实可以工作。php或/wp admin(假设我还没有登录),我获得了第一个级别。htaccess password required对话框,必须输入正确的用户名和密码(FWIW与我们的任何WP用户名/密码完全不同)。
一旦我在对话框中输入了正确的凭据,然后并且只有在那时我才能获得wp登录。php页面,使用我的WP用户名和密码登录。
我还有一些其他(非管理员)用户,我已经向他们提供了这个更高级别的登录信息。所需的用户名和密码。htaccess非常长且强大,不太可能被任何人“猜测”,因此我希望只看到授权用户登录。
但我仍然在我的wp登录页面上多次遭到未经授权的尝试-虽然没有那么多,但根据LLAR插件,这种情况仍然存在。。。。。。在日志中,它显示通过wp登录而不是XMLRPC(我已禁用)进入的尝试。
所以我的问题是:是否有人/机器人可以绕过。wp登录时的htaccess指令。php?或者,唯一可能的答案是发现了第一级登录凭据?(缺乏用户安全性?)。
如果唯一的方法是通过发现的一级登录,我可以更改它并通知我的用户,但如果我缺少其他方法,那么这样做将不会有效。
有什么想法?
SO网友:Rick Hellewell
只要插件阻止了过多的登录尝试,那么我不确定是否需要额外的保护。插件应该防止试图猜测凭据。
网站上总是会有登录尝试,即使它们不是WP网站。您可以查看您的访问日志(按40倍的结果代码过滤),并看到大量尝试访问站点上不可用的内容。事情是这样的。
只要你阻止过多的登录,并且拥有强大的帐户密码,我就看不到额外的安全层(通过htaccess密码)的好处。
这些登录尝试将始终发生。你的防御措施是限制登录尝试的插件和强大的密码。
