Descripción

Limit Login Attempts Reloaded functions as a robust deterrent against brute force attacks, bolstering your website’s security measures and optimizing its performance. It achieves this by restricting the number of login attempts allowed. This applies not only to the standard login method, but also to XMLRPC, Woocommerce, and custom login pages. With more than 2.5 million active users, this plugin fulfills all your login security requirements.

The plugin functions by automatically preventing further attempts from a particular Internet Protocol (IP) address and/or username once a predetermined limit of retries has been surpassed. This significantly weakens the effectiveness of brute force attacks on your website.

By default, WordPress permits an unlimited number of login attempts, posing a vulnerability where passwords can be easily deciphered through brute force methods.

Limit Login Attempts Reloaded Premium (Try For 7 Days)
Upgrade to our premium version to extend cloud-based protection to the Limit Login Attempts Reloaded plugin, thereby enhancing your login security. The premium version includes a range of highly beneficial features, including IP intelligence to detect, counter and deny malicious login attempts. Your failed login attempts will be safely neutralized in the cloud so your website can function at its optimal performance during an attack. Activate the premium version now to fortify your login security using the most trusted login security plugin available!

Features (Free Version):

Limit Logins – Limit the number of retry attempts when logging in (per each IP).
Configurable Lockout Timings – Modify the amount of time a user or IP must wait after a lockout.
Remaining Tries – Informs the user about the remaining retries or lockout time on the login page.
Lockout Email Notifications – Informs the admin via email of lockouts.
Denied Attempt Logs – View a log of all denied attempts and lockouts.
IP & Username Safelist/Denylist – Control access to usernames and IPs.
Compatibilidad con Sucuri
Compatibilidad con Wordfence
Ultimate Member compatibility.
Protección de la puerta de enlace XMLRPC.
Protección de la página de inicio de sesión de Woocommerce.
Multi-site compatibility with extra MU settings.
Cumpole con elGDPR.
Custom IP origins support (Cloudflare, Sucuri, etc.).

Features (Premium Version):

Performance Optimizer – Offload the burden of excessive failed logins from your server to protect your server resources, resulting in improved speed and efficiency of your website.
Enhanced IP Intelligence – Identify repetitive and suspicious login attempts to detect potential brute force attacks. IPs with known malicious activity are stored and used to help prevent and counter future attacks.
Enhanced Throttling – Longer lockout intervals each time a malicious IP or username tries to login unsuccessfully.
Deny By Country – Deny IPs by country.
Auto IP Denylist – Automatically add IP addresses to your active cloud deny list that repeatedly fail login attempts.
Global Denylist Protection – Utilize our active cloud IP data from thousands of websites in the LLAR network.
Synchronized Lockouts – Lockout IP data can be shared between multiple domains for enhanced protection in your network.
Synchronized Safelist/Denylist – Safelist/Denylist IP and username data can be shared between multiple domains.
Premium Support – Email support with a security tech.
Auto Backups of All IP Data – Store your active IP data in the cloud.
Enhanced lockout logs – Gain valuable insights into the origins of IPs that are attempting logins.
CSV Download of IP Data – Download IP data direclty from the cloud.
Supports IPV6 Ranges For Safelist/Denylist
Desbloquea la administracion bloqueada – Desbloquea fácilmente la administración bloqueada a través de la nube.

*Some features require higher level plans. Please view our pricing for a full list of plans and features.

¿Actualizando desde el antiguo plugin Limit Login Attempts?

Ves a la sección de plugins del área de administración de tu web.
Elimina el plugin Limit Login Attempts.
Instala el plugin Limit Login Attempts Reloaded.

¡Todos tus ajustes permanecerán intactos!

Actualmente, el plugin Limit Login Attempts Reloaded es compatible con muchos idiomas, pero cualquier idioma adicional es bienvenido.

Ayúdanos a llevar Limit Login Attempts Reloaded a más países.

Traducciones: búlgaro, portugués brasileño, catalán, chino (tradicional), checo, holandés, finlandés, francés, alemán, húngaro, noruego, persa, rumano, ruso, español, sueco, turco

El plugin usa únicamente acciones y filtros estándar.

Basado en el código original del plugin Limit Login Attemps de Johan Eenfeldt.

Directrices de marca

Limit Login Attempts Reloaded™ is a trademark of Atlantic Silicon Inc. When writing about the plugin, please make sure to use Reloaded after Limit Login Attempts. Limit Login Attempts is the old plugin.

Limit Login Attempts Reloaded (correct)
Limit Login Attempts (incorrect)

Capturas

Pantalla de acceso después de un acceso fallido con los reintentos restantes
Pantalla de acceso bloqueada
Interfaz de administración en WordPress 5.2.1

FAQ

¿Qué hago si todos los usuarios quedan bloqueados?

If you are using contemporary hosting, it’s likely your site uses a proxy domain service like CloudFlare, Sucuri, Nginx, etc. They replace your user’s IP address with their own. If your server is not configured properly, all users will get the same IP address. This also applies to bots and hackers. Therefore, locking one user will lead to locking everybody else out. In the free version of the plugin, this can be adjusted using the Trusted IP Origin setting. In the premium version, the cloud service intelligently recognizes the non-standard IP origins and handles them correctly, even if your hosting provider does not.

How do I know if I’m under attack?

An easy way to check if the attack is legitimate is to copy the IP address from the lockout notification, and go to https://whatismyipaddress.com/ip-lookup. Enter in the IP address to see if you recognize the location. If the location is not somewhere you recognize and you have received several failed login attempts, then you are likely being attacked. You might notice dozens or hundreds of IPs each day.

How can I tell that the premium plugin is working?

After you upgrade to our premium version, you will see a new dashboard in your WordPress admin that shows all attacks that will now relay through our cloud service.

You will still see the attacks because they will never stop regardless if you upgrade, but now our cloud service will safely process and neutralize them without taking resources from your site. This is very important and positively impacts your site’s stability and performance.

In some cases, you may notice an increase in speed and efficiency with your website. Also, a reduction in lockout notifications via email.

Could these failed login attempts be fake?

Some users feel that it’s impossible to receive so many failed login attempts, especially since they’re site was just created or they have minimal human traffic. Let us be clear that these failed login attempts are NOT generated by the plugin. New websites are often hosted on a shared IP address, which makes it very easy for hackers to find. Also, new domain names are often crawled once they are created, so as soon as a WordPress website is built on it, it’s vulnerable to attacks. New websites are often the best target since security is not top of mind for site owners.

What happens if my site exceeds the request limits in the plan?

The premium plan’s resource limits start from 100,000 requests per month, which should accept almost any heavy brute-force attack. We monitor all of our sites and will alert the user if it appears they are going over their limits. If limits are reached, we will suggest to the user upgrading to the next plan. If you are using the free version, the load caused by brute force attacks will be absorbed by your current hosting bandwidth, which could cause your hosting costs to increase.

What URLs are being attacked and protected?

The URLs being protected are your login page (wp-login.php, wp-admin), xmlrpc.php, WooCommerce login page, and any custom login page you have that uses regular WordPress login hooks.

Why is LLAR more popular than other brute-force protection plugins?

Our main focus is protecting your site from brute-force attacks. This allows our plugin to be very lean and effective. It doesn’t require a lot of your web hosting resources and keeps your site well-protected. More importantly, it does all of this automatically as our service learns on its own about each IP it encounters. In contrast, a firewall would require manual addition or removal of IPs. We’ve published an article about it here.

What to do when an admin gets blocked?

Open the site from another IP. You can do this from your cell phone, or using Opera browser and enabling free VPN there. You can also try turning off your router for a few minutes and then see if you get a different IP address. These will work if your hosting server is configured correctly. If that doesn’t work, connect to the site using FTP or your hosting control panel file manager. Navigate to wp-content/plugins/ and rename the limit-login-attempts-reloaded folder. Log in to the site then rename that folder back and whitelist your IP. By upgrading to our premium app, you will have the unlocking functionality right from the cloud so you’ll never have to deal with this issue.

¿Qué ajustes debería usar en el plugin?

Los ajustes se explican dentro del plugin con gran detalle. Si no estás seguro, utiliza los ajustes por defecto, ya que son los recomendados.

Can I share the safelist/denylist throughout all of my sites?

By default, you will need to copy and paste the lists to each site manually. For the premium service, sites are grouped within the same private cloud account. Each site within that group can be configured if it shares its lockouts and access lists with other group members. The setting is located in the plugin’s interface. The default options are recommended.

Reseñas

windspeed 3 de octubre de 2023

Thanks

amosnier 1 de octubre de 2023

Very effective tool for alerting too many unexpected visits from maliciopus hackers

doreenhawdon 1 de octubre de 2023

...is now becoming bloatware.

David Pasqualone 28 de septiembre de 2023

Plugin does what it promises. Thank you!

alejandroego 21 de septiembre de 2023

Muy simple y efectivo

blueskript 21 de septiembre de 2023

Great starter, to make you aware of attacks on yours site.

Leer todas las 1.181 reseñas

Colaboradores y desarrolladores

«Limit Login Attempts Reloaded» es un software de código abierto. Las siguientes personas han colaborado con este plugin.

WPChef

«Limit Login Attempts Reloaded» ha sido traducido a 34 idiomas locales. Gracias a los traductores por sus contribuciones.

Traduce «Limit Login Attempts Reloaded» a tu idioma.

¿Interesado en el desarrollo?

Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.

Registro de cambios

2.25.25

PHP 8.2/9 compatibility improved, thanks to Jer Turowetz!
Button size and text typo fixed.

2.25.24

Better loading of translations.
Fixed PHP warning related to menu.

2.25.23

Better side menu.
Fixed I18N issues, thanks to alexclassroom!

2.25.22

Interface changes.
Tested with WP 6.3.

2.25.21

Optimization: autoload for large options turned off.
Interface changes.

2.25.20

Fix against network requests caching removed b/c some misconfigured servers can’t handle it.

2.25.19

Better handling of network connection issues.
Fixed responsive formatting on dashboard.
Added fix against network requests caching.

2.25.18

Fixed errors occurring in situations where two versions of the plugin are installed (which should not normally happen).

2.25.17

Reprogramación.
Server load reducing optimization.

2.25.16

Double slashes in paths removed.
Better handling of cloud response codes.

2.25.15

Error messages logic fixed.

2.25.14

Multisite support improved.
CSS outside of the plugin issue fixed.
Better number formatting on the dashboard.
Lockout email template updated.

2.25.13

Ultimate Member compatibility.
Fixed conflicting URL parameters in some rare cases.
Updated attempts counter logic.

2.25.12

Fixed IPv4 validation when passed with a port number.
Fixed texts and translations.

2.25.11

PHP 8 compatibility fixed.
Logs loading issue fixed.
Help and Extensions tabs added.
Notification about auto updates added.
Displaying of plugin version added.
Text changes made.

2.25.10

Tested with PHP 8.
Small styles refactoring.
Fixed a rare issue with events log not being displayed correctly.
Chart library updated.

2.25.9

Welcome page replaced with a modal.

2.25.8

Email text, links updated.

2.25.7

Country flags added to log.
Refresh button added to log.
Email text updated.

2.25.6

Email links updated.

2.25.5

Fixed Woocommerce integration.
Updated some interface links.

2.25.4

Se ha corregido el error de sesión en casos raros.
Se han explicado las reglas de acceso.
Mejorado el comportamiento de sesión en la página de acceso.
Se ha corregido la advertencia en algunas instalaciones de GoDaddy.

2.25.3

Compatibilidad mejorada con WordFence.
Mejor manejo de HTTP_X_FORWARDED_FOR en la pestaña de depuración.
Se ha añadido la opción de ocultar la insignia de advertencia.

2.25.2

Indicador de seguridad corregido para el multisitio.

2.25.1

Se ha añadido un ajuste para desactivar el widget del escritorio.
El widget sólo es visible para administradores.

2.25.0

Se ha añadido el widget del escritorio.
Se ha añadido un indicador de seguridad.

2.24.1

Se ha corregido el error E_ERROR que se producía en casos raros cuando la tabla de registro estaba dañada.

2.24.0

Protección aumentada: los bots ya no pueden analizar los mensajes de bloqueo.

2.23.2

Nube: mejor desbloqueo de la UX.
Pequeña limpieza.

2.23.1

Añadido el scroll infinito para los registros de la nube.

2.23.0

Se ha reducido el tamaño del plugin al eliminar las traducciones obsoletas.
Se ha limpiado el escritorio.
Nube: se ha añadido información sobre las IPs bloqueadas automática/manualmente.
GDPR: se ha añadido una opción para insertar un enlace a una página de Política de Privacidad a través de un shortcode, se ha aclarado el cumplimiento del GDPR.

2.22.1

Se ha añadido la IP al asunto del correo electrónico.

2.22.0

Se ha añadido soporte a la notación CIDR para especificar rangos de IP.
Se han actualizado los textos.
Reprogramación.

2.21.1

Corregido: Uncaught Error: Llamada a una función miembro stats()
Cloud API: se ha añadido bloqueo por país.
Reprogramación.

2.21.0

Cumplimiento del GDPR: Sustitución de la ofuscación de IPs por un mensaje de consentimiento personalizable en la página de acceso.
Cloud API: se ha corregido la eliminación de IPs bloqueadas de las listas de acceso bajo ciertas condiciones.
Cloud API: el dominio para el código de configuración se toma ahora de la configuración de WordPress.

2.20.6

Se han arreglado los enlaces de las pestañas multisitio.

2.20.5

Opción para mostrar y ocultar el elemento de menú de nivel superior

2.20.4

Se ha verificado la compatibilidad con Sucuri
Se ha verificado la compatibilidad con Wordfence.
Mejor navegación de menú.
Se han corregido las zonas horarias para el gráfico global.

2.20.3

Una redacción más clara.
ACloud API: se ha corregido el doble envío en el formulario de ajustes.
Mejor presentación de las estadísticas.

2.20.2

Texto de correo electrónico actualizado.

2.20.1

Nuevo escritorio con estadísticas más claras.

2.20.0

Nuevo escritorio con estadísticas sencillas.

2.19.2

Textos y enlaces actualizados.

2.19.1

Página de bienvenida
Textos e imágenes actualizados.

2.19.0

Reprogramación.
Se ha corregido la ubicación de los mensajes de respuesta.
Cambios de texto.

2.18.0

Cloud API: se ha añadido un gráfico de uso.
Cambios de texto.

2.17.4

Se han añadido las imágenes jQuery que faltaban.
Se ha corregido la compatibilidad con PHP 5.
Custom App setup link replaced with setup code.

2.17.3

Mensaje de las páginas de plugin.

2.17.2

Se ha rediseñado el aviso de bloqueo.

2.17.1

Se ha corregido el problema con la caché de CSS.
Se ha actualizado el texto de aviso.

2.17.0

Reprogramación.
Se ha actualizado el texto del correo electrónico y el aviso.
Nuevos enlaces en la lista de plugins.

2.16.0

Se ha implementado la funcionalidad de Custom Apps. Más detalles: https://limitloginattempts.com/app/

2.15.2

Método alternativo para cerrar el mensaje de respuesta.

2.15.1

Reprogramación.

2.15.0

La característica de restablecimiento de contraseña se ha eliminado por no ser deseada.
Reprogramación menor.

2.14.0

Se ha implementado la compatibilidad con error de acceso de BuddyPress
Se ha implementado la compatibilidad con UltimateMember.
Se ha corregido una advertencia de PHP.

2.13.0

Se ha corregido la incompatibilidad con PHP < 5.6.
Se ha rediseñado el diseño de la página de ajustes.

2.12.3

El mensaje de respuesta se muestra ahora sólo para los administradores, y también se puede cerrar incluso si el sitio tiene problemas con AJAX.

2.12.2

Se ha corregido el mensaje de respuesta que no se muestra, de nuevo.

2.12.1

Se ha corregido el mensaje de respuesta que no se muestra.

2.12.0

Reprogramación menor.
get_message() – se han corregido los avisos de error.
Esta es la primera vez que te pedimos una opinión.

2.11.0

Los nombres de usuario incluidos en la lista negra ya no pueden registrarse.

2.10.1

Corregido: La opción de cumplimiento del GDPR no se podía seleccionar en las instalaciones multisitio.

2.10.0

Se ha añadido información de depuración para mejorar el soporte.

2.9.0

Se ha añadido la opción del origen de la IP de confianza.

2.8.1

Vuelven las opciones de bloqueo adicionales.

2.8.0

El plugin ya no confía en ninguna dirección IP que no sea _SERVER[«REMOTE_ADDR»]. Confiar en otros orígenes de IPs hace que la protección sea inútil porque pueden ser fácilmente falsificadas. Esta nueva versión proporciona una forma de desbloqueo seguro de IPs para aquellos sitios que utilizan un proxy inverso junto con servidores mal configurados que pueblan _SERVER[«REMOTE_ADDR»] con IPs erróneas lo que lleva a un bloqueo masivo de usuarios.

2.7.4

Ahora las alertas de bloqueo se pueden enviar a una dirección de correo electrónico configurable.

2.7.3

La ha página de ajustes se ha movido a «Ajustes»

2.7.2

Los ajustes han sido movidos a una página separada.
Corregido: mensaje de error de inicio de sesión. https://wordpress.org/support/topic/how-to-change-login-error-message/

2.7.1

Se ha corregido un problema de seguridad heredado del plugin antecesor Limit Login Attempts.

2.7.0

Se ha implementando el cumplimiento del GDPR.
Corregido: el bucle $ip de ip_in_range() se anula a sí mismo provocando resultados no válidos.
https://wordpress.org/support/topic/ip_in_range-loop-ip-overrides-itself-causing-invalid-results/
Corregido: el plugin bloqueaba la misma dirección IP varias veces, cada una con un puerto diferente.
https://wordpress.org/support/topic/same-ip-different-port/

2.6.3

Añadida compatibilidad con Sucuri Website Firewall.

2.6.2

Se ha solucionado el problema de las barras invertidas en los nombres de usuario.

2.6.1

El plugin devuelve la cabecera 403 Forbidden cuando se alcanza el límite de intentos de acceso vía XMLRPC.
Se ha añadido soporte de rangos de IP en las listas blancas/negras.
Los bloqueos ahora se pueden liberar selectivamente.
Se ha corregido el problema de la codificación de los símbolos especiales en las notificaciones por correo electrónico.

2.5.0

Se ha añadido la compatibilidad multisitio y ajustes adicionales de MU. https://wordpress.org/support/topic/multisite-compatibility-47/

2.4.0

Los nombres de usuario y las direcciones IP ya se pueden incluir en la lista blanca y en la lista negra. https://wordpress.org/support/topic/banning-specific-usernames/ https://wordpress.org/support/topic/good-831/
El registro de bloqueos ha sido invertido. https://wordpress.org/support/topic/inverse-log/

2.3.0

Ahora se pueden añadir direcciones IP a la lista blanca. https://wordpress.org/support/topic/legal-user/
A «Gateway» column is added to the lockouts log. It shows what endpoint an attacker was blocked from. https://wordpress.org/support/topic/xmlrpc-7/
Se ha corregido el error «Undefined index: client_type». https://wordpress.org/support/topic/php-notice-when-updating-settings-page/

2.2.0

Removed the «Handle cookie login» setting as they are now obsolete.
Se ha añadido protección por fuerza bruta contra los ataques a la página de inicio de sesión de Woocommerce. https://wordpress.org/support/topic/how-to-integrate-with-woocommerce-2/
Se ha añadido una protección de fuerza bruta contra los ataques XMLRPC. https://wordpress.org/support/topic/xmlrpc-7/

2.1.0

La configuración de la conexión del sitio se aplica ahora automáticamente y, por tanto, se ha eliminado de la interfaz de administración.
Ahora compatible con PHP 5.2 para dar soporte a algunas instalaciones de WP antiguas.

2.0.0

Aviso PHP corregido: Tipo de desplazamiento ilegal en isset o vacío https://wordpress.org/support/topic/limit-login-attempts-generating-php-errors
se ha corregido el problema de las funciones obsoletas
https://wordpress.org/support/topic/using-deprecated-function
Corregido el error con los argumentos de la función: https://wordpress.org/support/topic/warning-missing-argument-2-5
Se ha añadido una marca de tiempo a los intentos fallidos en la página de configuración del plugin.
Se ha corregido el problema de los archivos de traducción .po.
reporogramación y optimización del código.

Seems to be doing it’s job very well

Powerful plugin

Used to be great

Delivers Results- Thank You!

Excelente!!

Great starter