¿Limitar los intentos de inicio de sesión sin un complemento?
Cómo proteger la página de inicio de sesión de WordPress sin utilizar un complemento
English version: Limit login attempts without a plugin?
Puede encontrar muchos comentarios y consejos al respecto en Internet. ¿Pero es real?
De forma predeterminada, WordPress permite intentos de inicio de sesión ilimitados a través del formulario de inicio de sesión, enviando cookies especiales, utilizando llamadas XML-RPC y llamadas API REST. Esto permite descifrar las contraseñas con relativa facilidad mediante un ataque de fuerza bruta. Hoy en día, los piratas informáticos y los bots intentan constantemente iniciar sesión en su sitio de WordPress adivinando su contraseña de administrador y las contraseñas de otros usuarios registrados en el sitio. Entonces, si desea proteger su sitio sin utilizar un complemento, necesita:
- Conozca bien PHP .
- Conozca lo suficiente sobre el filtro de autenticación y la acción (integrada en WordPress) para engancharlos. Recomiendo comenzar desde ganchos como 'authenticate' y 'wp_login_failed'.
- Realice un seguimiento del formulario de inicio de sesión posterior, solicitudes de autorización XML RPC y API REST y, sí, no olvide las cookies de autorización (¿son válidas?).
- Almacene en algún lugar todos los intentos con todos los intentos de inicio de sesión y todas las direcciones IP para calcular cuándo y qué IP necesita bloquear. Recomiendo usar API transitoria. En serio. Esta es la manera más fácil. Por supuesto, no puedes controlarlo, pero usarlo te permite hacer algo sin conocimientos de SQL.
- Calcule el tiempo entre intentos fallidos de inicio de sesión para una IP particular.
- Contar con una herramienta o código PHP para resetear cualquiera de esos contadores e IP de cliente bloqueado. ¿Qué pasa si algún cliente legítimo es bloqueado por casualidad?
¿Parece loco? Tienes una segunda opción. Puede buscar en Google y obtener algunos fragmentos de código de algún blog en Internet sin garantía ni soporte.
Conclusión: Puede encontrar muchos consejos sobre cómo limitar los intentos de inicio de sesión sin un complemento en Internet. Pero todos los consejos los dan personas que ni siquiera saben cómo funciona exactamente el algoritmo de autenticación de WordPress, incluidos esos buenos chicos de stackoverflow. Pero, de todos modos, puedes hacerlo, si realmente no te preocupas por la seguridad de tu sitio porque no hay opción para hacerlo correctamente sin habilidades de codificación PHP y conocimiento del mecanismo de autenticación de WordPress.