WordPress 被 JetPack 封鎖 IP 登入帳號


WordPress 外掛程式(Plugins)中有一個官方套件叫做「JetPack」,Jetpack 在幾個月以前的一次更新中,新加了一項「Protect(保護)」服務。

Protect服務是一種資安保護工具,可以透過辨識使用者的行為來加以封鎖惡意入侵者電腦的網路位址 (Internet Protocol Address, IP Address),避免被該電腦強行破解密碼。不過越是嚴謹的資安保護,有時候封鎖到的說不定會是自己。

今天筆者要藉這篇文章,跟同樣不小心被封鎖的網站主解說幾種解除 IP 封鎖的方式,避免連自己都沒辦法進入後台的窘境,只要一被封鎖 IP,WP 就不會管你是一般作者還是管理者,通通視為惡意使用者。

在 JetPack 的官方說明書中為了讓大家快速瞭解它的功能,已經寫有 Protect 的功能包括:「Protect 是能夠抵抗暴力破解攻擊的雲端式防護工具。我們透過數百萬個 WordPress 網站來辨識並封鎖惡意 IP。 Protect 利用 Protect 模組追蹤已連接 Jetpack 的所有網站之失敗登入嘗試。如果單一 IP 在短時間內的嘗試登入失敗次數過多,該 IP 便會遭到封鎖,無法登入已安裝此外掛程式的任何網站…」

換言之,WordPress 會透過雲端網路取得一份 IP 黑名單,當名單上的 IP 嘗試登入你網站後台時會就會進行封鎖,例如俄羅斯 IP 網段就經常被當作入侵網站的跳板,往往也是容易被封鎖的對象。不過除此之外,Protect 還有另一種簡單而且算是有效的驗證機制。

請參見下圖一,當一般使用者打算登入 WordPress 時,Protect 程式會強制詢問一道數學問題,藉以判斷你是不是駭客執行的破解機。如果答錯問題,或是無視問題打算強行暴力破解帳號密碼,Protect 就會封鎖該電腦端的 IP 位址。

WordPress-Security-Login-Question-Math-Asking-Solution
圖一,登入問題驗證。

Protect 的設計也是一板一眼,因此像我在圖一中故意回答正確,但不是他想要的答案,也會被當成錯誤答案(饅頭:哈哈哈,你看看你,愛玩嘛!),結局就是變成像圖二所示那樣,維德被自己的網站給封鎖了(無限Orz)。

WordPress-Login-Block-with-Wrong-Answer
圖二,IP 以標幟為可能違反安全性規範。

一旦被封鎖,從原本的電腦就再也無法登入自己的網站後台。但是不需要驚慌,接下來維德將告訴你如何解決這個麻煩。

解除 Jetpack Protect 的 IP 封鎖

在發現自己被 Protect 封鎖後,先開啟 WordPress.com 官方網站並登入帳號,找到如下圖三所示的網站管理頁面。其中在「設定」選項中,有一個「安全性」分頁。只要開啟安全性分頁,我們就能發現 Jetpack Protect 的延伸服務「IP 位址允許清單」。

只要將已被封鎖的電腦端 IP 位址填入文字框中(網頁會自動偵測電腦 IP,但需要自己填入),就算完成解除封鎖(Unblock IP)。我們就能立刻使用原本被封鎖的電腦與 IP,正常登入網站系統的後台。

WortPress-Protect-website-Whitelist-unclock-ip
圖三,WordPress 網站管理介面。

另外,除了上面提到的解除封鎖的正規辦法外,我們還能透過更換電腦 IP 的簡單程序(例如重置數據機或找虛擬私人網路(Virtual Private Network, VPN)當跳板),藉以達到迴避 IP 被封鎖的困擾。

甚至可以開啟伺服器供應商(例如 Bluehost)提供的檔案管理介面,並在「外掛資料夾」中移除整份 JetPack 資料夾,等同一起移除 Protect 服務。如此一來,我們就能立刻正常登入系統後台(由於麻煩,一般都是最後手段)。

既然提到最後手段,其實這招也適用其他不同的資安保護工具外掛產品。只要哪天一個不小心又被莫名其妙封鎖,卻不知道該如何解決時,最直接且不用花腦筋的辦法,就是移除該外掛工具的資料夾。不過記得,等到能正常登入系統後台後,記得要再重新安裝外掛啊。


使用 Email 訂閱 最新消息不漏接

我們尊重您的隱私,隨時可取消訂閱。

留言

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *