Ekran logowania do naszej strony Wordpress posiada limit prób wpisania hasła i loginu. Po błędnym wpisaniu hasła zostaniemy zablokowani - np. na 15 minut. W tym poradniku pokazujemy, jak wyłączyć to ograniczenie oraz jak spersonalizować ustawienia ekranu logowania Wordpress.

Limit prób logowania to świetny sposób na dodatkowe zabezpieczenie naszego konta Wordpress. Jeżeli użytkownik więcej niż trzy razy błędnie wpisze hasło lub login, zostanie on czasowo zablokowany. Np. na 15 minut. Mogą się też pojawić dodatkowe zabezpieczenia jak np. konieczność przepisania kodu Captcha. Jednak niekiedy, w niektórych przypadkach warto wyłączyć ów limit prób logowania. Nie jest to takie proste, jednak możemy ułatwić sobie logowanie do naszej witryny czy bloga postawionego na platformie Wordpress.

Warto jeszcze przypomnieć, że niedawno pokazywaliśmy jak w prosty sposób zmienić domyślny adres logowania /wp-admin i /wp-login na ukryty. Dzięki temu zyskujemy lepszą ochronę przed ewentualnymi atakami na naszą stronę. Przejdźmy jednak do właściwej części naszego poradnika.

Jak wyłączyć limit logowań - menedżer plików

Ponieważ limit logowań do Wordpressa jest wtyczką (Limit Login Attempts), będziemy musieli ją dezaktywować bądź też usunąć z naszej strony. Warto tu jednak zaznaczyć, że nie jest to standardowa wtyczka, którą możemy dezaktywować z poziomu zarządzania Wordpressem. Narzędzie ograniczające liczbę logowań jest ukryte w naszym Wordpressie i nie wyłączymy go z poziomu zakładki Wtyczki. W tym celu należy skorzystać z menedżera plików.

Dlatego też logujemy się do naszego serwera, gdzie przechowywana jest strona lub blog. Możemy to zrobić na kilka sposobów. Wielu dostawców hostingu oferuje swoim użytkownikom z poziomu panelu zarządzania stroną (np. MyPHPAdmin) dostęp do menedżera plików. W taki wypadku należy po prostu z poziomu przeglądarki internetowej otworzyć menedżera plików.

Możemy też skorzystać z innej opcji, a mianowicie - klienta FTP. Tutaj potrzebne są jednak dane dostępu do naszego serwera FTP, czyli login, hasło i adres serwera. Wszystkie te informacje powinien oczywiście dostarczyć nasz hostingodawca. Jako klienta sieci FTP proponujemy darmowy program FileZilla. Można go oczywiście pobrać z naszego serwisu w najnowszej wersji.

Niezależnie od tego, jakie rozwiązanie wybierzemy, naszym celem będzie folder znajdujący się w katalogu głównym (public_html lub public_htm), czyli:

/wp-content/plugins/

Z poziomu tego folderu odszukujemy katalog, który nosi nazwę limit-login-attempts (może też nosić podobną nazwę), a następnie usuwamy go. Np. klikając prawym przyciskiem myszy i wybierając polecenie usuń bądź "Delete". Po prawidłowym pozbyciu się wtyczki z naszej strony, odświeżamy w przeglądarce zawartość i logujemy się ponownie do Wordpresa. Ograniczenie liczby logowań zostało właśnie usunięte. Teraz możemy dowolną liczbę razy wpisywać błędnie hasło lub login do naszej strony.

Jak usunąć ograniczenia logowania - MySQL Query

Inny sposób, z jakiego możemy skorzystać, to usunięcie wtyczki z poziomu bazy danych MySQL. Przy czym trzeba zaznaczyć, że jest to rozwiązanie przeznaczone raczej dla bardziej zaawansowanych użytkowników Wordpressa. Przed przystąpieniem do zmian warto zrobić kopię zapasową swojej bazy danych Wordpress.

Następnie logujemy się do panelu zarządzania hostingiem - MyPHPAdmin. Tutaj odszukujemy skrót do baz danych MySQL, a następnie z poziomu zakładki SQL uruchamiamy zapytanie o następującej treści:

UPDATE wp_options SET option_value = '' WHERE option_name = 'limit_login_lockouts' LIMIT 1;

Po wyświetleniu wyników wyszukiwania dezaktywujemy bądź zupełnie kasujemy wtyczkę ograniczającą liczbę wejść na naszą stronę. Możemy też ustawić, aby limit liczby logowań nie był dostępny dla określonego adresu IP, dzięki czemu tylko logowania z naszej domowej sieci WiFi będą bezpieczne. Wówczas wysyłamy z poziomu SQL następujący query:

UPDATE wp_options SET option_value = REPLACE(option_value, 'MÓJ ADRES IP', '') WHERE option_name = 'limit_login_lockouts' LIMIT 1;

Gdzie MÓJ ADRES IP to oczywiście ciąg znaków reprezentujących IP naszej sieci internetowej.

Personalizacja ustawień limitu logowania

Za pomocą odpowiednich wtyczek możemy też zmienić ustawienia limitu logowania na naszej stronie. Wystarczy skorzystać z wtyczki, która nazywa się Limit Login Attempts, a dostępna jest za darmo na Wordpressa.

Po aktywowaniu wtyczki, jest ona dostępna z poziomu zakładki Ustawienia > Limit Login Attempts. Możemy tutaj spersonalizować ustawienia logowania do naszego panelu zarządzania Wordpressem. Na początek przechodzimy do sekcji "Lockout", gdzie możemy ustalić liczbę możliwych prób wpisania nieprawidłowego hasła ("allowed retries"), a także jak długo ma być zablokowany użytkownik po błędnym wpisaniu hasła. Możemy też ustawić, że np. po 5-krotnym błędnym wpisaniu hasła użytkownik zostaje zablokowany na 24 godziny.

Dodatkowo ciekawym rozwiązaniem jest opcja powiadomień o logowaniach. Możemy np. ustawić, aby po każdym zablokowaniu użytkownika próbującego zalogować się do naszej strony, wysyłany był do nas e-mail z powiadomieniem na ten temat. W ten sposób w przypadku ewentualnego ataku na naszą stronę, zostaniemy natychmiast powiadomieni i będziemy mogli podjąć odpowiednie kroki mające na celu wyeliminowanie zagrożenia.

Wtyczka Limit Login Attempts pozwala również na ustawienie możliwości łączenia się z naszą stroną za pośrednictwem serwerów proxy, a także ustawienie tzw. ciasteczek (plików cookie) podczas logowania, co znacznie ułatwia dostęp do naszej witryny lub też bloga.

Warto też przetestować nieco nowszą wtyczkę - WP Limit Login Attempts. Pozwala ona na ustawienie obrazków Captcha w celu dodatkowego zabezpieczenia logowania do naszej strony Wordpress. Również tutaj możemy zmienić limity logowań, dodać wyjątki dla adresów IP, a także blokować próby dostępu do naszej strony z określonych adresów IP. Wtyczka posiada dodatkowo specjalne zabezpieczenie, które pozwala na dodatkową ochronę przed tzw. atakami brute force. Oczywiście, również dostępna jest za darmo na Wordpressa.