Limitare i tentativi di accesso senza plugin?
Come proteggere la pagina di accesso di WordPress senza utilizzare un plugin
English version: Limit login attempts without a plugin?
Su Internet puoi trovare moltissimi commenti e consigli a riguardo. Ma è reale?
Per impostazione predefinita WordPress consente tentativi di accesso illimitati tramite il modulo di accesso, inviando cookie speciali, utilizzando chiamate XML-RPC e chiamate API REST. Ciò consente di violare le password con relativa facilità tramite attacchi di forza bruta. Al giorno d'oggi hacker e bot tentano costantemente di accedere al tuo sito WordPress indovinando la tua password di amministratore e le password di altri utenti registrati sul sito. Quindi, se vuoi proteggere il tuo sito senza utilizzare plugin hai bisogno di:
- Conosci bene PHP .
- Conoscere abbastanza il filtro e l'azione di autenticazione (integrati in WordPress) per agganciarli. Consiglio di iniziare da hook come 'authenticate' e 'wp_login_failed'.
- Tieni traccia del modulo post accesso, delle richieste di autorizzazione XML RPC e API REST e sì, non dimenticare i cookie di autorizzazione (sono validi?).
- Archivia da qualche parte tutti i tentativi con tutti gli accessi tentati e tutti gli indirizzi IP per calcolare quando e quale IP devi bloccare. Consiglio di utilizzare l'API transitoria. Sul serio. Questo è il modo più semplice. Ovviamente non puoi controllarlo, ma usarlo ti consente di fare qualcosa senza conoscere SQL.
- Calcola il tempo tra i tentativi di accesso non riusciti per un particolare IP.
- Avere uno strumento o un codice PHP per reimpostare uno di questi contatori e l'IP del cliente bloccato. Cosa succede se qualche cliente legittimo viene bloccato per caso?
Sembra pazzesco? Hai una seconda opzione. Puoi cercare su Google e prendere alcuni frammenti di codice da qualche blog in Internet senza alcuna garanzia e supporto.
Conclusione: su Internet si trovano moltissimi consigli su come limitare i tentativi di accesso senza plug-in. Ma tutti i consigli vengono forniti da persone che non sanno nemmeno come funziona esattamente l'algoritmo di autenticazione di WordPress, compresi quei bravi ragazzi di StackOverflow. Ma, in ogni caso, puoi farlo, se davvero non ti preoccupi della sicurezza del tuo sito perché non esiste alcuna opzione per farlo nel modo giusto senza competenze di codifica PHP e conoscenza del meccanismo di autenticazione di WordPress.