Phòng chống tấn công Brute Force cho wp-admin với plugins Login Lockdown

Login Lockdown (LL) ghi nhận lại những địa chỉ IP và thời gian mỗi khi có một sự đăng nhập thất bại xảy ra. Sau một số lần do bạn qui định, LL sẽ tạm khoá dải IP tương ứng trong một thời gian (cũng do bạn qui định trong Admin Dashboard) và chức năng đăng nhập sẽ tạm thời bị vô hiệu hoá với những truy cập từ những IP thuộc dải IP tương ứng mà LL nhận định được.

1. Hướng dẫn cài đặt Login Lockdown

Để cài đặt plugins này các bạn đăng nhập vào wp-admin -> Plugins -> Cài mới -> kích hoạt

2. Hướng dẫn sử dụng

Để cấu hình Login Lockdown các bạn truy cập Cài đặt -> Login Lockdown

Phòng chống tấn công Brute Force cho wp-admin với plugins Login Lockdown
Phòng chống tấn công Brute Force cho wp-admin với plugins Login Lockdown

– Max Login Retries: Số lần được phép đăng nhập sai, nếu vượt quá sẽ bị block đăng nhập

– Retry Time Period Restriction (minutes): Khoảng thời gian giữa mỗi lần đăng nhập sai

– Lockout Invalid Usernames?: Theo mặc định, LockDown sẽ không kích hoạt nếu tên người dùng không tồn tại. Bạn nên bật thêm dòng này để LockDown làm việc ngay cả khi tên người dùng không tồn tại.

Một trong những tính năng hay trong plugin này là “mask login errors“. Khi bạn bật (enable) tính năng này thì nó sẽ ẩn đi các thông báo khi người nào đó đăng nhập thất bại như “wrong username” hoặc “wrong password” , điều này sẽ ít nhiều làm nản lòng các hacker khi không biết chính xác username hay password không đúng.

Mẹo nhỏ,

1, Sau khi bạn cài đặt thì trong hộp thoại đăng nhập tại trang wp-admin sẽ có chuỗi “Login form protected by Login LockDown“, tôi nghĩ không nên để lại dòng chữ này vì chẳng khác gì bạn “vạch áo” cho hacker “xem lưng” cả. Để tắt dòng này bạn có thể tùy chọn trong phần cài đặt của Login Lockdown

 

Be the first to comment

Leave a Reply

Your email address will not be published.


*