暴力攻击使用高度自动化的脚本运行。这些脚本侧重于常规安装；他们中的大多数人无法处理对正常登录过程的更改(example).

您不能停止对登录页面的请求，但可以更改登录过程的工作方式，因此脚本必须考虑您的具体情况。几乎所有脚本都会在这里失败。

例如：

在wpkrauts上。com，我正在运行一个自定义插件来记录可疑行为。它有一个内置的登录跟踪程序，可以临时或永久阻止IP地址。

6月4日，我安装了another plugin 这需要单击复选框。该复选框是用JavaScript插入的，其名称取决于站点：

    if ( defined( \'LOGGED_IN_SALT\' ) )
        $salt = LOGGED_IN_SALT;
    else
        $salt = filemtime( __FILE__ );

    $this->unique = md5( $_SERVER[ \'HTTP_HOST\' ] . $salt );

暴力攻击依赖于标准安装。更改标准，攻击可能会失败。

关于限制登录尝试的注意事项：该插件将所有记录的IP地址存储在一个必须反序列化的选项中。一段时间后，这个列表可能会很长，包括上万个地址。我不会用那个<一种更有效的方法是从单独的表中只查找这一个IP地址。

相关：Increase of failed login attempts, brute force attacks?

还有Duo Two-Factor Authentication 这要求您连接到第三方服务，但在我的个人博客中似乎效果很好。我用WordPress BlackBerry应用程序进行了尝试，但无法连接。但这可能是一个不错的选择。

你对封锁有什么担心？您是否正在寻找特定的功能？我喜欢限制登录，因为它很简单。

然而，限制登录无法解锁特定IP，这是一个令人沮丧的问题。有几个类似的插件，但如果你不介意额外的功能（这对安全性有好处），我很喜欢WordFence(http://wordpress.org/plugins/wordfence/).

我特别喜欢它的流量类型节流功能，它可以帮助坏机器人在想要爬网你的网站时进行行为。当然，它还内置了暴力保护和许多其他安全功能。比较全面。

你试过了吗？

我最近遭到了一次攻击，我所需要的就是限制登录尝试和暂时阻止国家/地区。我想如果我反复尝试，让人非常恼火，我会做一些更激烈的事情，比如改变登录过程。但我不想让每次登录自己都变得更复杂。

我听说密码保护wp登录。这有效吗？

以下是我在暴力攻击中的经验，以及我如何使用Wordfence和Cloudflare来管理它：http://webeminence.com/brute-force-wordpress-login/

您应该真正防止服务器/网络级别的暴力攻击。

由于大多数人没有网络访问权限，因此有以下几种选择：

1-如果您没有服务器访问权限或只想使用第三方Cloudflare 将阻止一些暴力攻击，尤其是来自大量网络上的机器人的暴力攻击。

2-您可以使用Apache的.htpasswd 文件

    <Files wp-login.php>
    AuthUserFile ~/.htpasswd
    AuthName “Private access”
    AuthType Basic
    require user mysecretuser
    </Files>

3-您可以将服务器防火墙配置为直接读取失败的尝试，并使用规则阻止IP。这可以像限制登录尝试一样进行管理，但速度要快得多，并且具有更多功能。这里有3个选项，可以组合使用（更好）。

• IPTables
• Fail2Ban
• ModSecurity

关于如何为失败的登录设置Mod\\u安全性的帖子：http://blog.spiderlabs.com/2013/04/defending-wordpress-logins-from-brute-force-attacks.html

还有一些暴力攻击应该由你的主人来处理，你应该问他们采取了什么措施等等。