WordPress návody

Jak ve WordPress omezit počet pokusů o přihlášení

Autor příspěvku Tomáš Cirkl

Jestliže máte standardní instalaci WordPress stránky, tak je velmi pravděpodobné, že se na ni měsíčně zkouší několik stovek nebo až tisíců podezřelých pokusů o přihlášení. Tomuto způsobu získání přístupu do stránek se říká útok hrubou silou.

Namísto nalezení zranitelnosti v jádře WordPress, pluginu nebo šabloně se hacker pokouší zadat uživatelské jméno a heslo a uhádnout tak kombinaci, která ho dostane do administrace. Proti útoku hrubou silou (anglicky brute force attack) nemá WordPress ve výchozím nastavení žádnou ochranu, protože umožňuje neomezený počet přihlášení.

Nenechte se ale zmást, to že hacker zkouší uhádnout přístupy do WordPress stránky, neznamená, že sedí za počítačem a ručně vyplňuje formulář pro přihlášení. Vše se děje automaticky za pomocí skritpů, které generují a testují milióny kombinací během minut.

V tomto příspěvku si ukážeme způsob, jak nastavit omezení počtu pokusů o přihlášení do WordPress stránky. Budeme k tomu využívat plugin Limit Login Attempts Reloaded. Plugin se nachází v oficiálním katalogu pluginů a je možné jej nainstalovat přímo z WordPress administrace.

Plugin Limit Login Attempts Reloaded

Plugin Limit Login Attempts Reloaded

Po instalaci a aktivaci pluginu můžete jít do nastavení pluginu, které se nachází v Nastavení → Limit Login Attempts.

Plugin obsahuje výchozí nastavení, které nemusíte měnit, ale v případě, že vám něco nevyhovuje, lze to upravit. Na stránce nastavení, která je česky najdete:

Nastavení Limit Login Attempts

Nastavení Limit Login Attempts

  • Statistiky – kolik plugin zablokoval pokusů o přihlášení.
  • GDPR complience – zaškrtnutím plugin začne splňovat obecné nařízení o ochraně osobních údajů.
  • Blokování – možnost nastavení počtu pokusů a délky banu při jejich vyčerpání.
  • Upozornění na blokování – zda chcete log nebo informaci na email.
  • Whitelist – seznam nebo rozsah povolených IP adres nebo uživatelských jmen, na které se limit nevztahuje.
  • Blacklist – seznam nebo rozsah zakázaných IP adres nebo uživatelských jmen, které jsou blokovány.

Tento druh ochrany je součástí komplexních bezpečnostních pluginů jako je iThemes Security nebo WordFence, ale pokud je z nějakého důvodu nechcete používat, tak je plugin Limit Login Attempts Reloaded dobrou náhradou za jednu z jejich užitečných funkcí.

O autorovi

Tomáš Cirkl

Baví mě Internet a zvláště pak redakční systém WordPress. Jsem pravidelným účastníkem a přednášejícím na WordCamp Praha a WordPress konferencích.

Zanechat komentář

Získejte více informací o WordPress!

Připojte se do našeho emailového seznamu a nenechte si ujít informace, novinky a návody ze světa WordPressu.

Úspěšně jste se zapsali do našeho newsletteru. Děkujeme!