保護WordPress登錄頁面

Question

我有一個WordPress網站。就像許多WordPress站點一樣，我偶爾會看到人們（可能是機器人）在登錄頁面嘗試運氣。然而，在過去的2幾周，一直不停的在400-500的速度嘗試了一天...... 所以我繼續採取以下安全措施：

1. 更改了登錄網址到的東西比不同普通/ wp-admin。
2. 限制每個URL的登錄嘗試次數，並自動阻止嘗試使用無效用戶名（例如「test」或「admin」）登錄的任何IP。
3. 設置雙因素身份驗證以確保即使他們嘗試過，即使他們猜到了用戶名和密碼，他們也無法進入。

但是似乎並沒有做太多，我仍然看到登錄嘗試的數量巨大，所以接下來我做的事情是：

密碼保護登錄URL本身。

而且我依然看到相同數量的登錄嘗試的......現在我的問題基本上都是2：

1. 他們如何管理仍然試試自己的運氣，即使該頁面是登錄表單密碼保護？
2. 我還能做些什麼嗎？

Answer 1

Cloudflare提供了一個free entry level plan，它可以幫助減少這些流量之前它到達您的網站。此外，他們的20美元/月計劃（截至2017年8月）可與WordPress plugin配對使用其內置的WordPress規則集。 CloudFlare還有其他一些設置可以讓您在特定類型的流量前添加更多的過濾器和路障。

如果您確實選擇將CloudFlare與WordPress一起使用，請確保您確切瞭解如何/如果您選擇將內容推送到CloudFlare CDN（內容交付網絡）以及與您網站上的內容緩存相關的方式。

標準免責聲明：除了作爲客戶，我與CloudFlare沒有任何關係。