啟用暴力破解密碼攻擊防護,保護你的帳號不受惡意嘗試登入的侵擾。
啟用功能
如果你已將 WordPress.com 帳號連結至 Jetpack,此功能依預設會設為啟用。你可以隨時在網站設定頁面中的 WordPress.com 儀表板停用此功能 (即使你已遭到封鎖)。

設定
啟用後,你可於網站設定頁面將多個 IP 位址加入允許清單中。如果你多次嘗試登入網站失敗,或是 Jetpack 偵測到來自你目前 IP 位址的異常行為,允許清單就能發揮作用。
- 該頁面也會顯示你目前的 IP 位址,以便你將其加入允許清單中。
- 適用 IPv4 和 IPv6 位址。

進階秘訣:你也可以設定 IP 位址為 wp-config.php 中的 JETPACK_IP_ADDRESS_OK
常數,將其加入允許清單。像這樣:define('JETPACK_IP_ADDRESS_OK', 'X.X.X.X');
儀表板
你可以在 Jetpack 儀表板的「安全性」區段,檢視「網站阻擋的惡意攻擊總計」的統計數量。

疑難排解資訊
在你的網站上啟用防護功能時遇到問題?查看以下提示,來找出根本原因。
IP 被封鎖了多久?
時間長度取決於許多因素,並非一個固定的時間。
我遭到 Jetpack 的封鎖。我該採取什麼動作?
為什麼我會在登入頁面上看到數字驗證碼?
數字驗證碼的作用為防護功能的備案。如果多次嘗試登入失敗導致你的 IP 遭到封鎖,你仍然可以透過正確輸入數字驗證碼和登入憑證,成功存取你的網站。在極為罕見的情況下,你也可能看到驗證碼,例如:你並未取得 API 金鑰、網站正在遭受強烈的攻擊等情況。
你的伺服器設定有誤,因此 Jetpack Protect 未能有效地保護你的網站
每當有人嘗試登入你的網站,Jetpack 的防護功能會檢視其 IP 位址,並與我們全球資料庫中的惡意 IP 位址進行比對。
為讓此功能有效運作,我們需要你伺服器儲存和提供的 IP 位址。很抱歉在某些情況下,你的伺服器可能不會回傳任何 IP 位址,導致防護功能無法有效進行封鎖。當此情況發生時,防護功能會遭到停用,而我們會通知你。
如有此情況,請務必將該頁面的連結傳送給你的主機服務提供者,讓他們能夠了解情況並為你解決問題。如需更多資訊,他們也能透過此聯絡表單直接連絡我們。
應用於多站台網路的防護功能
如果你多次嘗試登入網站,但因忘記密碼而登入失敗,你可能會遭到 Jetpack 的防護功能封鎖。
在 WordPress 多站台安裝中,你可以透過任何一個網路上的登入頁面,登入任何位於網路的帳號。 因此,如果你只在部分網站上啟用 Jetpack Protect,實際上所有網站都並未受到保護。
為解決此問題,請在多站台安裝中為整個網路啟用 Jetpack,並同時在網路的主要網站上啟用防護功能。 完成上述步驟後,無論網站是否連結至 Jetpack,你網路上的所有網站皆會啟用 Jetpack 的防護功能。
防護功能回報數以萬計遭到封鎖的惡意嘗試登入攻擊
舉一個最佳使用案例來闡述此功能,現在整個網路上有數以千計的「機器人程式」正在嘗試取得網站存取權。無論你的網站規模如何,都有人或者東西試圖「闖入」。WordPress 本身極為安全,然而最容易遭到突破的弱點通常是使用者的密碼。機器人程式會不斷地猜測使用者的密碼,以嘗試登入你的網站。
Jetpack 的防護功能收集來自上百萬個網站的嘗試登入失敗資訊,用以保護你不受這些攻擊的侵擾。舉例來說,如果某個機器人程式嘗試取得 A 網站的存取權,並且接著前往 B 網站。防護功能就能辨識此機器人程式,在它嘗試登入 B 網站前就提前將其封鎖。
即使有此功能,使用安全的強式密碼仍然十分重要。
我可以在哪裡找到更多關於已封鎖攻擊的資訊?
例如:
- 哪些使用者名稱需要更加安全?
- 是透過 wp-login 還是 XMLRPC?
- 這些攻擊來自哪些 IP 位址?
- 什麼時候發生?是否有固定模式?
- 已發現了部分攻擊,還有多少尚未被偵測到的攻擊?
我們並未存取這些資訊。Jetpack Protect 的設計追求簡潔有力。其目的在於,讓你無需考量這些問題或是進行決策。因此,我們僅儲存已封鎖的攻擊總數。
隱私權資訊
此功能依預設會設為啟用。如需停用該功能,你隨時可以前往儀表板中的「Jetpack」→「儀表板」→「總覽」,於「安全性」區段中切換防護設定。
如需了解一般功能和常見問題,請參閱我們的 Jetpack Security 功能。
更多關於網站資料使用量資訊
使用的資料 | |
---|---|
網站擁有者/使用者
為查看登入活動和封鎖潛在詐騙意圖的攻擊,會需要使用以下資訊:嘗試登入的使用者 IP 位址、電子郵件地址/使用者名稱 (即嘗試登入時使用的資訊),以及所有與嘗試登入使用者 IP 相關的 HTTP 頁首。 另外,為了追蹤活動還需要這些資訊 (詳述如下):IP 位址、WordPress.com 使用者 ID、WordPress.com 使用者名稱、WordPress.com 連結的網站 ID 和 URL、Jetpack 版本、使用者代理程式、造訪 URL、參照 URL、事件時間戳記、瀏覽器語言、國碼。 |
網站訪客
為查看登入活動和封鎖潛在詐騙意圖的攻擊,會需要使用以下資訊:嘗試登入的使用者 IP 位址、電子郵件地址/使用者名稱 (即嘗試登入時使用的資訊),以及所有與嘗試登入使用者 IP 相關的 HTTP 頁首。 |
追蹤的活動 | |
網站擁有者/使用者
嘗試登入失敗動作。 我們會追蹤將功能啟用與停用的時間與使用者。我們也會設定 Cookie ( |
網站訪客
嘗試登入失敗動作。 我們會設定 Cookie ( |
已同步的資料 (閱讀更多資訊) | |
網站擁有者/使用者
一些選項以表明功能是否啟用,以及其可用設定的設定方式。我們也會同步網站的允許清單中的項目 (由網站擁有者設定)、用於登入檢查的防護專用 API 金鑰,以及所有嘗試登入失敗的資訊 (包含:使用者的 IP 位址、嘗試登入的使用者名稱或電子郵件地址、使用者代理程式等)。 |
網站訪客
嘗試登入失敗的資訊 (包含:使用者的 IP 位址、嘗試登入的使用者名稱或電子郵件地址、使用者代理程式等)。 |