Opis

Protect your WordPress website against brute force attacks, bot attacks, and unauthorized login attempts with one of the most trusted login security plugins for WordPress.

Limit Login Attempts Security strengthens your WordPress login security by limiting failed login attempts, blocking malicious IPs, securing wp-login.php, protecting XML-RPC, and adding powerful firewall and 2FA protection without slowing down your website.

Trusted by 2 million WordPress websites, Limit Login Attempts Security is designed specifically to protect the most targeted part of your website: the login page.

Why Use Limit Login Attempts Security?

By default, WordPress allows unlimited login attempts. This creates a major security vulnerability where bots and attackers can repeatedly guess usernames and passwords until they gain access. This is especially important in the age of AI, where attackers now have access to faster and more sophisticated tools than ever before.

Limit Login Attempts Security helps stop:

Brute force attacks
Bot login attacks
Credential stuffing attacks
XML-RPC attacks
Unauthorized login attempts
WooCommerce login abuse
Malicious IP access attempts

The plugin automatically blocks excessive login attempts and locks out suspicious IP addresses and usernames before attackers can gain access.

Features Included in the Free Version

Login Security & Brute Force Protection

Limit login attempts by IP address and username
Automatically lock out suspicious login activity
Adjustable lockout duration and retry limits
Protect wp-login.php from automated attacks
Prevent brute force login attacks

2FA / Multi-Factor Authentication (MFA)

Built-in two-factor authentication (2FA)
Add an additional layer of login protection
Improve WordPress account security
Secure administrator and user logins

Firewall & Bot Protection

Block malicious login requests
Detect suspicious login behavior
Reduce bot-based login attacks
Lightweight firewall-focused login protection

WooCommerce & Plugin Compatibility

Protects:

WooCommerce login pages
XML-RPC login requests
Custom login pages
WordPress multisite installations

Compatible With:

Wordfence
Sucuri
Ultimate Member
MemberPress
WPS Hide Login
Cloudflare and reverse proxy setups

Login Monitoring & Notifications

Failed login attempt logs
Lockout email notifications
Denied attempt tracking
Login retry visibility for users

Access Controls

IP safelist and denylist support
Username safelist and denylist support
IPv6 range support
Custom IP origin configuration

Premium Features (Start Your Free 14 Day Trial)

Upgrade to Limit Login Attempts Security Premium to extend protection with cloud-based login security and advanced attack prevention.

Advanced Cloud Protection

Real-time malicious IP intelligence
Global denylist protection
Synchronized lockouts across websites
Auto IP denylist generation
Cloud-based login attack mitigation

Enhanced Performance Protection

Offload excessive failed login requests from your server
Reduce server strain during attacks
Improve stability under heavy attack conditions

Advanced Security Features

Country-based login blocking
Enhanced throttling and lockout escalation
Registration page protection
Successful login tracking
Enhanced lockout analytics and geolocation data

Multi-Site & Team Features

Shared safelist and denylist syncing
Shared lockout protection between domains
Cloud backups of IP security data
CSV exports of login and IP activity

Premium Support

Access to security-focused support specialists
Faster troubleshooting and assistance

Lightweight Security Built for WordPress

Unlike many large security suites, Limit Login Attempts Security focuses specifically on login security and brute force protection.

This means:

Faster performance
Less server overhead
Easier configuration
Strong protection without unnecessary bloat

Protect More Than Just wp-login.php

Limit Login Attempts Security secures:

wp-login.php
XML-RPC
WooCommerce logins
Custom login forms
Registration pages
Multisite logins

Trusted by Millions of WordPress Websites

Limit Login Attempts Security is one of the most widely used WordPress login security plugins and has helped protect millions of websites from brute force attacks and malicious login activity.

Whether you run:

A personal blog
WooCommerce store
Membership website
Agency
Business website
Enterprise WordPress network

Limit Login Attempts Security helps secure your login experience with modern WordPress login protection.

Upgrading from the Original Limit Login Attempts Plugin?

Switching is easy:

Remove the old Limit Login Attempts plugin
Install Limit Login Attempts Security
Your settings will remain intact

Translation Support

Currently translated into multiple languages including:

Spanish
French
German
Dutch
Turkish
Swedish
Russian
Romanian
Chinese (Traditional)
Brazilian Portuguese
And more

Secure Your WordPress Login Today

Install Limit Login Attempts Security and protect your WordPress website with:

Login security
Two-Factor Authentication (2FA)
Brute force protection
Firewall security
Bot protection
XML-RPC protection
WooCommerce login protection

Without slowing down your website.

Zrzuty ekranu

Najczęściej zadawane pytania

Co mam zrobić, jeśli wszyscy użytkownicy zostaną zablokowani?

If you are using contemporary hosting, it’s likely your site uses a proxy domain service like CloudFlare, Sucuri, Nginx, etc. They replace your user’s IP address with their own. If the server where your site runs is not configured properly (this happens a lot) all users will get the same IP address. This also applies to bots and hackers. Therefore, locking one user will lead to locking everybody else out. If the plugin is not using our Cloud App, this can be adjusted using the Trusted IP Origin setting. The cloud service intelligently recognizes the non-standard IP origins and handles them correctly, even if your hosting provider does not.

Skąd mam wiedzieć, czy jestem atakowany?

Łatwym sposobem na sprawdzenie, czy atak jest rzeczywisty, jest skopiowanie adresu IP z powiadomienia o blokadzie i sprawdzenie jego lokalizacji za pomocą narzędzia do lokalizacji IP. Jeśli lokalizacja nie jest miejscem, które rozpoznajesz, a otrzymałeś kilka nieudanych prób logowania, prawdopodobnie jesteś atakowany. Możesz zauważyć dziesiątki lub setki adresów IP każdego dnia. Odwiedź naszą stronę internetową, aby dowiedzieć się, jak możesz zapobiegać atakom siłowym na swojej stronie.

Jak mogę sprawdzić, czy wtyczka premium działa poprawnie?

Po uaktualnieniu do wersji premium, zobaczysz nowy kokpit w panelu administracyjnym WordPress, który pokaże wszystkie ataki, które teraz będą przesyłane przez naszą usługę w chmurze. Na wykresie zobaczysz żądania oraz nieudane próby logowania. Każde żądanie będzie reprezentować aplikację w chmurze weryfikującą adres IP, co obejmuje również odrzucone logowania.

W niektórych przypadkach możesz zauważyć zwiększenie szybkości i wydajności swojej strony internetowej. Zmniejszy się również ilość powiadomień o blokadach wysyłanych e-mailem.

Czy te nieudane próby logowania mogą być fałszywe?

Niektórym użytkownikom trudno jest uwierzyć, że mogą doświadczyć wielu nieudanych prób logowania, szczególnie gdy ich strona została niedawno utworzona lub ma minimalny ruch użytkowników. Wtyczka nie jest odpowiedzialna za generowanie tych nieudanych prób logowania. Nowo utworzone strony internetowe często są hostowane na współdzielonych adresach IP, co ułatwia hakerom ich odkrycie. Dodatkowo, nowo zarejestrowane nazwy domen są często przeszukiwane krótko po ich utworzeniu, co sprawia, że strona WordPress staje się podatna na ataki. Takie strony są atrakcyjnymi celami, ponieważ bezpieczeństwo nie jest głównym zmartwieniem ich właścicieli. Stworzyliśmy artykuł, który zagłębia się w kwestię fałszywych prób logowania w WordPressie.

Co się stanie, jeśli moja strona przekroczy limity żądań w planie?

Plan premium ma limity zasobów zaczynające się od 100 000 żądań miesięcznie, co powinno wystarczyć na prawie każdy ciężki atak siłowy. Monitorujemy wszystkie nasze strony i powiadomimy użytkownika, jeśli okaże się, że przekraczają swoje limity. Jeśli limity zostaną osiągnięte, zasugerujemy użytkownikowi przejście na wyższy plan. Jeśli używasz wersji darmowej, obciążenie spowodowane atakami siłowymi będzie pochłaniane przez aktualną przepustowość twojego hostingu, co może spowodować wzrost kosztów hostingu.

Jakie adresy URL są atakowane i chronione?

Chronione są adresy URL takie jak strona logowania (wp-login.php, wp-admin), xmlrpc.php, strona logowania WooCommerce oraz każda niestandardowa strona logowania korzystająca z zwykłych haków logowania WordPress.

Why is Limit Login Attempts Security more popular than other brute-force protection plugins?

Naszym głównym celem jest ochrona twojej strony przed atakami siłowymi. Dzięki temu nasza wtyczka jest bardzo lekka i skuteczna. Nie wymaga dużo zasobów twojego serwera i zapewnia doskonałą ochronę twojej strony. Co najważniejsze, wszystko to odbywa się automatycznie, ponieważ nasza usługa samodzielnie uczy się o każdym napotkanym adresie IP. Z kolei zapora sieciowa wymagałaby ręcznego blokowania adresów IP.

Co zrobić, gdy administrator zostanie zablokowany?

Otwórz stronę z innego adresu IP. Możesz to zrobić za pomocą telefonu komórkowego lub używając przeglądarki Opera z włączonym darmowym VPN-em. Możesz także spróbować wyłączyć router na kilka minut i sprawdzić, czy uzyskasz inny adres IP. Te metody powinny zadziałać, jeśli serwer hostingu jest poprawnie skonfigurowany. A jeśli to nie zadziała, spróbuj połączyć się ze stroną za pomocą FTP lub menedżera plików w panelu sterowania hostingiem. Przejdź do katalogu wp-content/plugins/ i zmień nazwę folderu limit-login-attempts-reloaded. Zaloguj się na stronie, następnie przywróć pierwotną nazwę tego folderu i dodaj swój adres IP do białej listy. Poprzez aktualizację do naszej aplikacji premium, uzyskasz możliwość odblokowania bezpośrednio z chmury, co pozwoli uniknąć tego rodzaju problemów w przyszłości.

Jakich ustawień powinienem użyć we wtyczce?

Ustawienia są szczegółowo wyjaśnione we wtyczce. Jeśli nie masz pewności, użyj ustawień domyślnych, ponieważ są one zalecane.

Czy mogę udostępnić listę bezpieczeństwa/zablokowanych na wszystkich moich stronach?

Domyślnie będziesz musiał ręcznie kopiować i wklejać listy do każdej strony. W przypadku usługi premium, strony są grupowane w ramach tego samego prywatnego konta w chmurze. Każda strona w tej grupie może być skonfigurowana do dzielenia swoich blokad i list dostępu z innymi członkami grupy. Ustawienie znajduje się w interfejsie wtyczki. Zalecane są domyślne opcje.

Recenzje

Samuel 2026-06-05

He intentado configurar excepciones en Cloudflare aplicando reglas personalizadas directamente en las opciones de configuración (WAF), especificando el campo de 'Ruta de URI’ con el valor correspondiente (/wp-json/llar/) para permitir el acceso al envío de correos del 2FA. Sin embargo, el sistema sigue devolviendo este error en concreto: „Cloudflare is blocking requests to /wp-json/llar/v1/mfa/send-code. If you are the site admin, please add a Cloudflare firewall exception for this URL. Otherwise, contact your site administrator. (Code 403)” He modificado las reglas de seguridad del WAF, las nuevas reglas de configuración, he desactivado la comprobación de integridad del navegador para esa ruta y he purgado la caché por completo en diversas ocasiones. No hay manera de solucionar el bloqueo. Sinceramente, me gusta mucho el plugin porque es realmente sencillo y ligero, pero si utilizas Cloudflare en su plan gratuito con el 'Bot Fight Mode’ activado de forma estricta, se vuelve incompatible. Esto ocurre porque la arquitectura del plugin redirige la autenticación a través de sus propios servidores externos, lo que Cloudflare identifica inmediatamente como un bot y bloquea en una capa perimetral superior sin respetar las reglas de omisión. Una lástima, he tenido que sustituirlo por una alternativa de ejecución 100% local.

davidbfox 2026-06-03

We’ve had Wordpress websites for at least a decade, and I never knew that people trying to hack their way in through login prompts was a thing. Now I know. Our webmaster told us about the attempts, and suggested we install the Limit Login plugin. We now know that all of the attempts (so far) were from one country (India). We were able to set it up so that only logins from our home county were permitted. Thank you!

xmagentur 2026-06-03

Very good software. Thank you for this free version that enhances our security!

webmastersm5yrase 2026-05-22

this app is a must for every website, it blocked so many unwanted 'visitors’ on my websites.

riana71 2026-05-20

was getting sm spammy login attempts lately. installed this & it instantly blocked the bots. love that it shows who is trying to get in cz now i feel way safer. literally a lifesaver

mcaudibert 2026-05-04

Permet d’être informé des tentatives de connexion et de réajuster le niveau de protection … Très simple d’utilisation et très sécurisant

Przeczytaj 1 458 recenzji

Kontrybutorzy i deweloperzy

„Limit Login Attempts Security – Login Security, 2FA, Firewall, Brute Force Prevention” jest oprogramowaniem open source. Poniższe osoby miały wkład w rozwój wtyczki.

Wtyczka „Limit Login Attempts Security – Login Security, 2FA, Firewall, Brute Force Prevention” została przetłumaczona na 36 języków. Podziękuj tłumaczom za ich wkład.

Przetłumacz wtyczkę “Limit Login Attempts Security – Login Security, 2FA, Firewall, Brute Force Prevention” na swój język.

Interesuje cię rozwój wtyczki?

Przeglądaj kod, sprawdź repozytorium SVN lub czytaj dziennik rozwoju przez RSS.

Rejestr zmian

3.2.4

Added compatibility with WordPress 7.

3.2.3

Broadened MFA state cookie scope to the site root for wider path coverage.
Fixed Active Lockouts counter not showing on the local Logs page.

3.2.2

Improved MFA rescue link compatibility on hosts with external object cache enabled.

3.2.1

Fixed rescue link behavior and updated the format.
2FA is pre-selected for administrators; when no user groups are selected, 2FA stays disabled.

3.2.0

Improved WooCommerce registration protection in cloud mode.
Refactored third-party integrations into a unified architecture (WooCommerce, MemberPress).

3.1.0

Added technical details to the network issue notice.
Fixed logo rendering in Gmail MFA notifications.
Improved local risk indicator thresholds and refactored rendering.
Improved compatibility with WPS Hide Login, WooCommerce, and MemberPress login flows; added WooCommerce cloud registration checks.

3.0.2

Hardened admin tab parameter (whitelist, strict checks) before loading tab views.
Onboarding: redirect to Dashboard when setup is incomplete and a tab other than Dashboard is opened.
Failed-login email subject: numbered placeholders for translation-friendly word order (e.g. for Dutch).
Onboarding popup: hide body scroll while open, restore on close; focus modal content.

3.0.1

Hardened MFA security.
MFA UI improved.
Refactored the codebase.

Earlier versions

For the changelog of earlier versions, please refer to the changelog.txt file.

Muy buen plugin, pero incompatible con Cloudflare

I never knew there were so many login attempts

Good software.

a must for every website.

blocked so many bots

très efficace et rassurant

Opis

Why Use Limit Login Attempts Security?

Features Included in the Free Version

Premium Features (Start Your Free 14 Day Trial)

Lightweight Security Built for WordPress

Protect More Than Just wp-login.php

Trusted by Millions of WordPress Websites

Upgrading from the Original Limit Login Attempts Plugin?

Translation Support

Secure Your WordPress Login Today

Zrzuty ekranu

Najczęściej zadawane pytania

Co mam zrobić, jeśli wszyscy użytkownicy zostaną zablokowani?

Skąd mam wiedzieć, czy jestem atakowany?

Jak mogę sprawdzić, czy wtyczka premium działa poprawnie?

Czy te nieudane próby logowania mogą być fałszywe?

Co się stanie, jeśli moja strona przekroczy limity żądań w planie?

Jakie adresy URL są atakowane i chronione?

Why is Limit Login Attempts Security more popular than other brute-force protection plugins?

Co zrobić, gdy administrator zostanie zablokowany?

Jakich ustawień powinienem użyć we wtyczce?

Czy mogę udostępnić listę bezpieczeństwa/zablokowanych na wszystkich moich stronach?