Описание
Limit Login Attempts Reloaded — блокировка попыток входа в систему и защита от атак подбора паролей, также инструменты для повышения производительности сайта. functions as a robust deterrent against brute force attacks, bolstering your website’s security measures and optimizing its performance. It achieves this by restricting the number of login attempts allowed. This applies not only to the standard login method, but also to XMLRPC, Woocommerce, and custom login pages. With more than 2.5 million active users, this plugin fulfills all your login security requirements.
Плагин работает по принципу автоматического предотвращения дальнейших попыток с определенного IP-адреса и/или имени пользователя после превышения заданного лимита повторных попыток. Это значительно снижает эффективность атак грубой силы на ваш сайт.
По умолчанию WordPress разрешает неограниченное количество попыток входа в систему, что создает уязвимость, при которой пароли могут быть легко расшифрованы методом грубой силы.
Limit Login Attempts Reloaded Premium (Try Free with Micro Cloud)
Upgrade to Limit Login Attempts Reloaded Premium to extend cloud-based protection to the Limit Login Attempts Reloaded plugin, thereby enhancing your login security. The premium version includes a range of highly beneficial features, including IP intelligence to detect, counter and deny malicious login attempts. Your failed login attempts will be safely neutralized in the cloud so your website can function at its optimal performance during an attack.
Особенности (бесплатная версия):
- Limit Logins — ограничение количества повторных попыток входа в систему (на каждый IP).
- Настраиваемое время блокировки — изменение времени ожидания пользователя или IP после блокировки.
- Оставшиеся попытки — информирует пользователя об оставшихся попытках или времени блокировки на странице входа в систему.
- Уведомления о блокировках по электронной почте — информирует администратора по электронной почте о блокировках.
- Журнал запрещенных попыток — просмотр журнала всех запрещенных попыток и блокировок.
- IP & Username Safelist/Denylist — контроль доступа к именам пользователей и IP-адресам.
- Сукури совместимость.
- Совместимость с ВордФенс .
- Ultimate Member compatibility.
- WPS Hide Login compatibility.
- Защита шлюза XMLRPC.
- Защита страницы входа в Woocommerce .
- Совместимость с несколькими сайтами с дополнительными настройками MU.
- Соответствует GDPR .
- Поддержка пользовательских IP-адресов (Cloudflare, Sucuri и др.).
- llar_admin own capability.
Особенности (Премиум-версия):
- Оптимизатор производительности — снимает с сервера нагрузку, связанную с избыточным количеством неудачных входов в систему, защищая ресурсы сервера, что приводит к повышению скорости и эффективности работы вашего сайта.
- Расширенная IP-аналитика — выявление повторяющихся и подозрительных попыток входа в систему для обнаружения потенциальных атак методом грубой силы. IP-адреса с известной вредоносной активностью сохраняются и используются для предотвращения и противодействия будущим атакам.
- Enhanced Throttling — Увеличение интервалов блокировки при каждой неудачной попытке входа в систему со злонамеренного IP-адреса или имени пользователя.
- Deny By Country — Block logins by country by simply selecting the countries you want to deny.
- Auto IP Denylist — автоматическое добавление в активный список запрета IP-адресов, которые неоднократно терпят неудачу при попытке входа в облако.
- Глобальная защита Denylist — Используйте наши активные облачные IP-данные с тысяч веб-сайтов в сети LLAR.
- Synchronized Lockouts — Lockout IP data can be shared between multiple domains for enhanced protection in your network.
- Синхронизированный список Safelist/Denylist — данные об IP-адресах и именах пользователей списка Safelist/Denylist могут быть общими для нескольких доменов.
- Premium Support — поддержка по электронной почте с техническим специалистом по безопасности.
- Auto Backups of All IP Data — Store your active IP data in the cloud.
- Successful Logins Log — Store successful logins in the cloud including IP info, city, state and lat/long.
- Расширенные журналы блокировок — Получите ценную информацию о происхождении IP-адресов, пытающихся войти в систему.
- Загрузка данных об IP-адресах в формате CSV — прямая загрузка данных об IP-адресах из облака.
- Supports IPV6 Ranges For Safelist/Denylist
- Unlock The Locked Admin — Easily unlock the locked admin through the cloud.
*Some features require higher level plans.
Обновление со старого плагина Limit Login Attempts?
- Перейдите в раздел плагинов в бэкэнде вашего сайта.
- Удалить плагин Limit Login Attempts Reloaded.
- Установить плагин Limit Login Attempts Reloaded.
Все ваши настройки останутся нетронутыми!
В настоящее время в плагине Limit Login Attempts Reloaded поддерживаются многие языки, но мы приветствуем любые дополнительные.
Помогите нам распространить Limit Login Attempts Reloaded еще в большем количестве стран.
Переводы: Болгарский, Португальский (Бразилия), Каталанский, Китайский (традиционный), Голландский, Китайский (традиционный), Чешский, Голландский, Венгерский, Французский, Немецкий, Венгерский, Норвежский, Персидский, Румынский, Русский, Испанский, Турецкий, Шведский
Плагин использует только стандартные действия и фильтры.
Основан на исходном коде плагина Limit Login Attempts от Johan Eenfeldt.
Руководство по брендингу
Limit Login Attempts Reloaded™ является торговой маркой компании Atlantic Silicon Inc. При написании отзыва о плагине обязательно используйте Reloaded после Limit Login Attempts. Limit Login Attempts — это старый плагин.
- Limit Login Attempts Reloaded (correct)
- Limit Login Attempts (incorrect)
Скриншоты
Часто задаваемые вопросы
-
Что мне делать, если все пользователи заблокированы?
-
Если вы используете современный хостинг, то, скорее всего, ваш сайт использует прокси-сервис домена, например CloudFlare, Sucuri, Nginx и т.д. Они заменяют IP-адрес пользователя своим собственным. Если ваш сервер настроен неправильно, то все пользователи будут получать один и тот же IP-адрес. Это также относится к ботам и хакерам. Поэтому блокировка одного пользователя приведет к блокировке всех остальных. В бесплатной версии плагина это можно настроить с помощью параметра Trusted IP Origin. В премиум-версии облачный сервис интеллектуально распознает нестандартные IP-адреса и корректно их обрабатывает, даже если ваш хостинг-провайдер этого не делает.
-
Как узнать, подвергаюсь ли я атаке?
-
An easy way to check if the attack is legitimate is to copy the IP address from the lockout notification and check its location using a IP locator tool. If the location is not somewhere you recognize and you have received several failed login attempts, then you are likely being attacked. You might notice dozens or hundreds of IPs each day. Visit our website to learn how can you prevent brute force attacks on your website.
-
After you upgrade to our premium version, you will see a new dashboard in your WordPress admin that shows all attacks that will now relay through our cloud service. On the graph, you’ll see requests and failed login attempts. Each request will represent the cloud app validating an IP, which also includes denied logins.
В некоторых случаях вы можете заметить увеличение скорости и эффективности работы вашего сайта. Кроме того, уменьшится количество уведомлений о блокировке по электронной почте.
-
Могут ли эти неудачные попытки входа в систему быть поддельными?
-
Some users find it hard to believe that they could experience numerous unsuccessful login attempts, particularly when their site has just been established or has minimal human traffic. The plugin is not responsible for generating these failed login attempts. Newly created websites are frequently hosted on shared IP addresses, making it easy for hackers to discover them. Additionally, newly registered domain names are often crawled soon after creation, rendering a WordPress website susceptible to attacks. Such websites are attractive targets as security is not a primary concern for their owners. We’ve created an article that delves deeper into the issue of fake login attempts in WordPress.
-
Что произойдет, если мой сайт превысит установленные планом лимиты запросов?
-
Ограничения на ресурсы в премиум-плане начинаются от 100 000 запросов в месяц, что позволяет выдержать практически любую мощную брутфорс-атаку. Мы следим за всеми нашими сайтами и предупреждаем пользователя о превышении лимита. Если лимиты превышены, мы предложим пользователю перейти на следующий тарифный план. Если вы используете бесплатную версию, то нагрузка, вызванная атаками грубой силы, будет поглощаться текущей пропускной способностью хостинга, что может привести к увеличению стоимости хостинга.
-
Какие URL-адреса подвергаются атакам и защищаются?
-
Защищаемые URL-адреса — это страница входа в систему (wp-login.php, wp-admin), xmlrpc.php, страница входа в систему WooCommerce, а также любая пользовательская страница входа в систему, использующая обычные крючки входа в WordPress.
-
Почему LLAR более популярен, чем другие плагины для защиты от перебора?
-
Our main focus is protecting your site from brute force attacks. This allows our plugin to be very lean and effective. It doesn’t require a lot of your web hosting resources and keeps your site well-protected. More importantly, it does all of this automatically as our service learns on its own about each IP it encounters. In contrast, a firewall would require manual blocking of IPs.
-
Что делать, если администратор заблокирован?
-
Open the site from another IP. You can do this from your cell phone, or using Opera browser and enabling free VPN there. You can also try turning off your router for a few minutes and then see if you get a different IP address. These will work if your hosting server is configured correctly. If that doesn’t work, connect to the site using FTP or your hosting control panel file manager. Navigate to wp-content/plugins/ and rename the limit-login-attempts-reloaded folder. Log in to the site then rename that folder back and whitelist your IP. By upgrading to our premium app, you will have the unlocking functionality right from the cloud so you’ll never have to deal with this issue.
-
Какие настройки я должен использовать в плагине?
-
Настройки подробно описаны в плагине. Если вы не уверены, используйте настройки по умолчанию, так как они рекомендуются.
-
By default, you will need to copy and paste the lists to each site manually. For the premium service, sites are grouped within the same private cloud account. Each site within that group can be configured if it shares its lockouts and access lists with other group members. The setting is located in the plugin’s interface. The default options are recommended.
Отзывы
Участники и разработчики
«Limit Login Attempts Reloaded — блокировка попыток входа в систему и защита от атак подбора паролей, также инструменты для повышения производительности сайта.» — проект с открытым исходным кодом. В развитие плагина внесли свой вклад следующие участники:
Участники«Limit Login Attempts Reloaded — блокировка попыток входа в систему и защита от атак подбора паролей, также инструменты для повышения производительности сайта.» переведён на 34 языка. Благодарим переводчиков за их работу.
Заинтересованы в разработке?
Посмотрите код, проверьте SVN репозиторий, или подпишитесь на журнал разработки по RSS.
Журнал изменений
2.26.13
- New «llar_admin» capability added to let other roles access the plugin.
- CSS fixes.
- Sticky headers added to the log tables.
- Small interface changes.
2.26.12
- Better displaying IPv6 in successful login attempts block.
- Possible intersections in tabs with other plugins fixed.
- PHP 8, 9 compatibility updates.
- Рефакторинг.
2.26.11
- Fixed possible style conflicts related to tables.
- Fixed possible PHP warnings.
- Fixed some I18N issues, thanks to alexclassroom!
- Better displaying multiple roles in login logs.
2.26.10
- Log of successful login attempts implemented for Micro Cloud (Free) and Premium users.
- Checklist of recommended actions implemented.
- Settings page reorganized.
2.26.9
- Обновлена библиотека карт.
2.26.8
- Fixed possible WooCommerce conflict.
2.26.7
- Better informing on Micro Cloud.
2.26.6
- Micro Cloud API url fix.
2.26.5
- Better informing on cloud status.
2.26.4
- Added country translation.
- Better Micro Cloud API response handling.
- A link fixed.
2.26.3
- CSS issue fixed on Logs tab.
2.26.2
- CSS issue fixed.
2.26.1
- Micro Cloud link fixed.
2.26.0
- New design.
- Free Micro Cloud plan introduced.
2.25.29
- A link fixed.
2.25.28
- Improved cloud charts.
2.25.27
- Security improvement: Better shortcode escaping.
- Fixed date formatting on the logs page.
- Fixed top menu links on the front-end.
- Badge added to the top menu.
2.25.26
- Security improvement: Different nonce for each AJAX action.
- Security improvement: The toggle_auto_update_callback checks for the update_plugins cap.
2.25.25
- PHP 8.2/9 compatibility improved, thanks to Jer Turowetz!
- Button size and text typo fixed.
2.25.24
- Better loading of translations.
- Fixed PHP warning related to menu.
2.25.23
- Лучшее боковое меню.
- Исправлены проблемы с I18N, спасибо alexclassroom!
2.25.22
- Изменения в интерфейсе.
- Проверено на WP 6.3.
2.25.21
- Оптимизация: отключена автозагрузка для больших опций.
- Изменения в интерфейсе.
2.25.20
- Убрано исправление против кэширования сетевых запросов, так как некоторые неправильно настроенные серверы не справляются с этим.
2.25.19
- Улучшена обработка проблем с сетевыми соединениями.
- Исправлено отзывчивое форматирование на приборной панели.
- Добавлена защита от кэширования сетевых запросов.
2.25.18
- Исправлены ошибки, возникающие в ситуациях, когда установлены две версии плагина (чего в принципе не должно происходить).
2.25.17
- Рефакторинг.
- Оптимизация снижения нагрузки на сервер.
2.25.16
- Двойные косые черты в путях удалены.
- Улучшенная обработка кодов ответа облака.
2.25.15
- Исправлена логика сообщений об ошибках.
2.25.14
- Улучшена поддержка многосайтовости.
- Исправлена проблема с CSS за пределами плагина.
- Улучшено форматирование чисел на приборной панели.
- Обновлен шаблон письма о блокировке.
2.25.13
- Ultimate Member compatibility.
- Исправлены конфликтующие параметры URL в некоторых редких случаях.
- Обновлена логика счетчика попыток.
2.25.12
- Исправлена проверка IPv4 при передаче с номером порта.
- Исправлены тексты и переводы.
2.25.11
- Исправлена совместимость с PHP 8.
- Исправлена проблема с загрузкой логов.
- Добавлены вкладки «Справка» и «Расширения».
- Добавлено уведомление об автообновлениях.
- Добавлено отображение версии плагина.
- Внесены изменения в текст.
2.25.10
- Протестировано с PHP 8.
- Небольшой рефакторинг стилей.
- Исправлена редкая проблема с некорректным отображением журнала событий.
- Обновлена библиотека карт.
2.25.9
- Страница приветствия заменена на модальную.
2.25.8
- Текст письма и ссылки обновлены.
2.25.7
- В журнал добавлены флаги стран.
- В журнал добавлена кнопка «Обновить».
- Текст письма обновлен.
2.25.6
- Ссылки на электронную почту обновлены.
2.25.5
- Исправлена интеграция с Woocommerce
- Обновлены некоторые ссылки интерфейса
2.25.4
- Исправлена ошибка сеанса в редких случаях.
- Разъяснены правила доступа.
- Улучшено поведение сеанса на странице входа.
- Исправлено предупреждение на некоторых установках GoDaddy.
2.25.3
- Улучшена совместимость с WordFence.
- Улучшена обработка HTTP_X_FORWARDED_FOR на вкладке «Отладка».
- Добавлена возможность скрыть значок предупреждения.
2.25.2
- Индикатор безопасности исправлен для мультисайта.
2.25.1
- Добавлена настройка для отключения приборной панели.
- Виджет виден только администраторам.
2.25.0
- Добавлена приборная панель.
- Добавлен индикатор безопасности.
2.24.1
- Исправлен E_ERROR, возникающий в редких случаях, когда таблица журнала повреждена.
2.24.0
- Повышена защита: боты больше не могут анализировать сообщения о блокировке.
2.23.2
- Облако: лучше разблокируйте UX.
- Небольшая уборка.
2.23.1
- Добавлена бесконечная прокрутка облачных журналов.
2.23.0
- Уменьшен размер плагина за счет удаления устаревших переводов.
- Почистил приборную панель.
- Облако: добавлена информация об автоматически/ручно заблокированных IP-адресах.
- GDPR: добавлена возможность вставлять ссылку на страницу Политики конфиденциальности с помощью шорткода, уточнено соответствие GDPR.
2.22.1
- IP добавлен в тему письма.
2.22.0
- Добавлена поддержка нотации CIDR для указания диапазонов IP-адресов.
- Тексты обновлены.
- Рефакторинг.
2.21.1
- Исправлено: необработанная ошибка: вызов функции-члена stats()
- Cloud API: добавлен блок по странам.
- Рефакторинг.
2.21.0
- Соответствие GDPR: запутывание IP-адресов заменено настраиваемым сообщением о согласии на странице входа.
- Cloud API: исправлено удаление заблокированных IP-адресов из списков доступа при определенных условиях.
- Cloud API: домен для Setup Code теперь берется из настроек WordPress.
2.20.6
- Исправлены ссылки на многосайтовые вкладки.
2.20.5
- Возможность показать и скрыть пункт меню верхнего уровня.
2.20.4
- Совместимость Sucuri подтверждена.
- Совместимость с Wordfence проверена.
- Улучшенная навигация по меню.
- Исправлены часовые пояса для глобального графика.
2.20.3
- Более четкая формулировка.
- Cloud API: исправлена двойная отправка в форме настроек.
- Лучшее отображение статистики.
2.20.2
- Обновлен текст электронной почты.
2.20.1
- Новая панель инструментов, более четкая статистика.
2.20.0
- Новая панель инструментов с простой статистикой.
2.19.2
- Тексты и ссылки обновлены.
2.19.1
- Страница приветствия.
- Обновление изображения и текста.
2.19.0
- Рефакторинг.
- Исправлено расположение сообщения обратной связи.
- Изменения текста.
2.18.0
- Cloud API: добавлен график использования.
- Изменения текста.
2.17.4
- Добавлены отсутствующие изображения jQuery.
- Исправлена совместимость с PHP 5.
- Ссылка для настройки пользовательского приложения заменена кодом установки.
2.17.3
- Сообщение о страницах плагина.
2.17.2
- Изменено уведомление о блокировке.
2.17.1
- Исправлена проблема с кешем CSS.
- Текст уведомления обновлен.
2.17.0
- Рефакторинг.
- Текст сообщения электронной почты и уведомления обновлены.
- Новые ссылки в списке плагинов.
2.16.0
- Реализована функциональность пользовательских приложений. Подробнее: https://limitloginattempts.com/app/
2.15.2
- Альтернативный метод закрытия сообщения обратной связи.
2.15.1
- Рефакторинг.
2.15.0
- Функция сброса пароля удалена как нежелательная.
- Небольшой рефакторинг.
2.14.0
- Реализована совместимость с ошибками входа в систему BuddyPress.
- Реализована совместимость с UltimateMember.
- Исправлено предупреждение PHP.
2.13.0
- Исправлена несовместимость с PHP < 5.6.
- Рефакторинг макета страницы настроек.
2.12.3
- Сообщение обратной связи теперь отображается только для администраторов, и его также можно закрыть, даже если на сайте есть проблемы с AJAX.
2.12.2
- Исправлено сообщение обратной связи, которое снова не отображалось.
2.12.1
- Исправлена ошибка, из-за которой сообщение обратной связи не отображалось.
2.12.0
- Небольшой рефакторинг.
- get_message() — исправлены сообщения об ошибках.
- Это первый раз, когда мы просим вас оставить отзыв.
2.11.0
- Пользователи из черного списка больше не могут быть зарегистрированы.
2.10.1
- Исправлено: опция соответствия GDPR не могла быть выбрана на многосайтовых установках.
2.10.0
- Для лучшей поддержки добавлена отладочная информация.
2.9.0
- Добавлена опция надежных IP-источников.
2.8.1
- Дополнительные варианты блокировки вернулись.
2.8.0
- Плагин больше не доверяет никаким IP-адресам, кроме _SERVER[«REMOTE_ADDR»]. Доверие к другим источникам IP делает защиту бесполезной, потому что их можно легко подделать. Эта новая версия предоставляет способ безопасной разблокировки IP-адресов для тех сайтов, которые используют обратный прокси-сервер в сочетании с неправильно настроенными серверами, которые заполняют _SERVER[«REMOTE_ADDR»] неправильными IP-адресами, что приводит к массовой блокировке пользователей.
2.7.4
- Предупреждения о блокировке теперь можно отправлять на настраиваемый адрес электронной почты.
2.7.3
- Страница настроек перемещена обратно в «Настройки».
2.7.2
- Настройки вынесены на отдельную страницу.
- Исправлено: сообщение об ошибке входа. https://wordpress.org/support/topic/how-to-change-login-error-message/
2.7.1
- Исправлена проблема безопасности, унаследованная от плагина-предка «Ограничить количество попыток входа».
2.7.0
-
Реализовано соответствие GDPR.
-
Исправлено: цикл ip_in_range() $ip переопределяет сам себя, что приводит к неверным результатам.
https://wordpress.org/support/topic/ip_in_range-loop-ip-overrides-itself-causing-invalid-results/ -
Исправлено: плагин несколько раз блокировал один и тот же IP-адрес, каждый с другим портом.
https://wordpress.org/support/topic/same-ip-different-port/
2.6.3
- Добавлена поддержка Sucuri Website Firewall.
2.6.2
- Исправлена проблема с обратной косой чертой в именах пользователей.
2.6.1
-
Плагин возвращает заголовок 403 Forbidden после достижения лимита попыток входа через XMLRPC.
-
Добавлена поддержка диапазонов IP в белых/черных списках.
-
Блокировки теперь можно снимать выборочно.
-
Исправлена проблема с кодировкой спецсимволов в уведомлениях по электронной почте.
2.5.0
- Добавлена совместимость с мульти сайтами и дополнительные настройки MU: https://wordpress.org/support/topic/multisite-compatibility-47/
2.4.0
- Имена пользователей и IP-адреса теперь могут быть занесены в белый и черный список. https://wordpress.org/support/topic/banning-specific-usernames/ https://wordpress.org/support/topic/good-831/
- Журнал блокировок был инвертирован. https://wordpress.org/support/topic/inverse-log/
2.3.0
- Теперь IP-адреса могут быть занесены в белый список. https://wordpress.org/support/topic/legal-user/
- В журнал блокировок добавляется столбец «Шлюз». Он показывает, с какой конечной точки злоумышленник был заблокирован. https://wordpress.org/support/topic/xmlrpc-7/
- Исправлена ошибка «Неопределенный индекс: client_type». https://wordpress.org/support/topic/php-notice-when-updating-settings-page/
2.2.0
- Удален параметр «Обрабатывать вход в систему с помощью файлов cookie», поскольку они устарели.
- Добавлена защита от грубой силы против атак на страницу входа в Woocommerce. https://wordpress.org/support/topic/how-to-integrate-with-woocommerce-2/
- Добавлена защита от брутфорса от атак XMLRPC. https://wordpress.org/support/topic/xmlrpc-7/
2.1.0
- Настройки подключения к сайту теперь применяются автоматически и поэтому удалены из интерфейса администратора.
- Теперь совместим с PHP 5.2 для поддержки некоторых старых установок WP.
2.0.0
- исправлено Предупреждение PHP: недопустимый тип смещения в isset или пустой https://wordpress.org/support/topic/limit-login-attempts-generating-php-errors
- исправлена проблема с устаревшими функциями
https://wordpress.org/support/topic/using-deprecated-function - Исправлена ошибка с аргументами функции: https://wordpress.org/support/topic/warning-missing-argument-2-5
- добавлена отметка времени для неудачных попыток на странице конфигурации плагина.
- исправлена проблема с файлами перевода .po.
- рефакторинг и оптимизация кода.