Как автоматизировать удаление блокировок входов Limit Login Attempts в WordPress

Автор: Кирилл Ершов | Опубликовано: 06.06.2026

Диагностика проблемы: почему пользователи блокируются и как это влияет на сайт

Плагин Limit Login Attempts защищает WordPress от brute force атак, блокируя IP-адреса после определенного количества неудачных попыток входа. Однако при ошибочной блокировке или слишком агрессивных настройках администраторы и пользователи могут оказаться заблокированы на длительное время, что мешает работе сайта и вызывает звонки в службу поддержки.

Основные симптомы:

Пользователь не может войти, получая сообщение о блокировке.
Администратор не может зайти с собственного IP.
Блокировка сохраняется длительное время, даже при отсутствии угроз.

Как проверить текущие блокировки Limit Login Attempts

Для диагностики блокировок используйте административный интерфейс плагина или напрямую проверьте таблицу базы данных, где хранятся заблокированные IP — обычно это wp_limit_login_lockouts или аналогичные.

Пример запроса для просмотра текущих блокировок:

SELECT * FROM wp_limit_login_lockouts ORDER BY lockout_expiration DESC;

Если таблицы нет, проверьте документацию плагина или используйте функцию экспорта блокировок из настроек.

Пошаговое решение: автоматическое снятие блокировок с помощью WP-Cron

Реализуем автоматическую очистку просроченных блокировок, чтобы не держать IP в черном списке дольше необходимого.

1. Создайте функцию для удаления устаревших блокировок

function wplogin_clear_expired_lockouts() {
    global $wpdb;
    $table = $wpdb->prefix . 'limit_login_lockouts';
    $now = time();

    // Удаляем записи с истекшим временем блокировки
    $deleted = $wpdb->query( $wpdb->prepare(
        "DELETE FROM $table WHERE lockout_expiration <= %d",
        $now
    ));

    if ( $deleted !== false ) {
        error_log("Limit Login Attempts: удалено $deleted устаревших блокировок");
    }
}

Обратите внимание, что название таблицы может отличаться в зависимости от версии плагина. Проверьте структуру базы данных.

2. Зарегистрируйте WP-Cron задачу для регулярного запуска

function wplogin_schedule_lockout_cleanup() {
    if ( ! wp_next_scheduled( 'wplogin_cleanup_lockouts_hook' ) ) {
        wp_schedule_event( time(), 'hourly', 'wplogin_cleanup_lockouts_hook' );
    }
}
add_action( 'wp', 'wplogin_schedule_lockout_cleanup' );
add_action( 'wplogin_cleanup_lockouts_hook', 'wplogin_clear_expired_lockouts' );

Данный код запускает функцию удаления устаревших блокировок каждый час.

3. Очистите планировщик при деактивации темы или плагина

function wplogin_deactivate_cleanup() {
    wp_clear_scheduled_hook( 'wplogin_cleanup_lockouts_hook' );
}
register_deactivation_hook( __FILE__, 'wplogin_deactivate_cleanup' );

Проверка результата после внедрения

Чтобы убедиться, что автоматическая очистка работает:

Посмотрите логи ошибок сервера или файл debug.log — должна появиться запись с количеством удаленных блокировок.
Проверьте таблицу wp_limit_login_lockouts перед и после запуска задачи.
Попробуйте вручную заблокировать IP и дождаться автоматического удаления.

Частые ошибки и как их исправить

Неправильное имя таблицы: разные версии плагина могут использовать разные префиксы и названия. Проверьте в базе данных, какое именно имя таблицы используется.
WP-Cron не запускается: если на сайте мало трафика, WP-Cron может не срабатывать. Для надежности настройте системный cron или используйте плагин WP Crontrol для ручного запуска.
Отсутствие прав на изменение базы: убедитесь, что пользователь базы данных WordPress имеет права на DELETE.
Функция очистки не регистрируется: проверьте, что код добавлен в активный файл темы или плагина, и нет синтаксических ошибок.

Практические советы по безопасности и производительности

Не стоит полностью отключать блокировки Limit Login Attempts — это снизит безопасность.
Настройте лимиты попыток и время блокировки адекватно трафику и рискам сайта.
Используйте сторонние сервисы защиты (например, Cloudflare) в связке с плагином для снижения нагрузки.
Регулярно обновляйте плагин и WordPress, чтобы исключить уязвимости.

Сравнение вариантов автоматизации удаления блокировок

Метод	Преимущества	Недостатки
WP-Cron с кастомной функцией	Гибкость, нет сторонних плагинов, можно настроить расписание	Зависит от посещаемости сайта, требует проверки таблиц
Встроенные настройки плагина	Простота, не требует кода	Ограниченные возможности автоматизации
Плагины для управления WP-Cron	Удобство мониторинга и запуска задач	Дополнительная нагрузка, требует установки плагина

wp-login.php - это страница входа в системе управления вордпресс. Если Вы хотите изменить внешний вид страницы входа - читайте здесь. Если вам нужно защитить админку - подробный мануал. Вы можете установить плагин Clearfy, в котором есть функция защиты админки и страницы входа.