Security Blog
Security Blog
Posted By Gregory

Limitar los intentos de entrada sin un plugin?

Cómo proteger la página de inicio de sesión de WordPress sin usar un complemento


English version: Limit login attempts without a plugin?


Puede encontrar un montón de comentarios y consejos al respecto en Internet. ¿Pero es real?

Por defecto, WordPress permite intentos de inicio de sesión ilimitados a través del formulario de inicio de sesión, el envío de cookies especiales, el uso de llamadas XML-RPC y las llamadas a la API REST. Esto permite que las contraseñas se puedan descifrar con relativa facilidad a través del ataque de fuerza bruta. Hoy en día, los hackers y los bots intentan constantemente iniciar sesión en su sitio de WordPress adivinando su contraseña de administrador y las contraseñas de otros usuarios registrados en el sitio. Por lo tanto, si desea proteger su sitio sin utilizar un complemento, necesita:

  1. Conozca PHP bien.
  2. Conozca lo suficiente sobre el filtro y la acción de autenticación (integrado en WordPress) para conectarlos. Recomiendo comenzar desde enlaces como 'autenticar' y 'wp_login_failed'.
  3. Rastree el formulario de inicio de sesión, las solicitudes de autorización XML RPC y REST API, y sí, no olvide las cookies de autorización (¿son válidas?).
  4. Almacene en algún lugar todos los intentos con todos los intentos de inicio de sesión y todas las direcciones IP para calcular cuándo y qué IP necesita bloquear. Recomiendo usar API transitoria. Seriamente. Esta es la manera más fácil. Por supuesto, no puede controlarlo, pero usarlo le permite hacer algo sin tener conocimiento de SQL.
  5. Calcule el tiempo entre intentos de inicio de sesión fallidos para una IP particular.
  6. Tenga una herramienta o código PHP para restablecer cualquiera de esos contadores y bloquear la IP del cliente. ¿Qué pasa si algún cliente legítimo será bloqueado por casualidad?

Parece una locura? Tienes una segunda opción. Puede buscar en Google y obtener algunos fragmentos de código de algún blog en Internet sin ninguna garantía ni soporte.

Conclusión: puede encontrar muchos consejos sobre cómo limitar los intentos de inicio de sesión sin el complemento en Internet. Pero todos los consejos son proporcionados por personas que ni siquiera saben cómo funciona exactamente el algoritmo de autenticación de WordPress, incluidos esos buenos tipos de stackoverflow. Pero, de todos modos, puede hacer eso, si realmente no se preocupa por la seguridad de su sitio porque no hay ninguna opción para hacerlo correctamente sin las habilidades de codificación de PHP y el conocimiento del mecanismo de autenticación de WordPress.

Si hay algo extraño en tu sitio, ¿a quién vas a llamar?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.