Security Blog
Security Blog
Posted By Gregory

Limitare i tentativi di accesso senza un plug-in?

Come proteggere la pagina di accesso di WordPress senza utilizzare un plug-in


English version: Limit login attempts without a plugin?


Puoi trovare molti commenti e consigli su questo su Internet. Ma è reale?

Di default WordPress consente tentativi di accesso illimitati attraverso il modulo di accesso, l'invio di cookie speciali, l'utilizzo di chiamate XML-RPC e le chiamate API REST. Ciò consente alle password di essere violate con relativa facilità tramite attacco di forza bruta. Oggigiorno hacker e bot cercano costantemente di accedere al tuo sito WordPress indovinando la tua password amministratore e le password di altri utenti registrati sul sito. Quindi, se vuoi proteggere il tuo sito senza usare il plugin hai bisogno di:

  1. Conosci bene PHP .
  2. Conoscere abbastanza il filtro di autenticazione e l'azione (integrata nel WordPress) per agganciarli. Consiglio di iniziare da ganci come "autenticate" e "wp_login_failed".
  3. Tieni traccia del modulo di login, delle richieste di autorizzazione XML RPC e REST API, e sì, non dimenticare i cookie di autorizzazione (sono validi?).
  4. Memorizza da qualche parte tutti i tentativi con tutti i tentativi di accesso e tutti gli indirizzi IP per calcolare quando e quale IP devi bloccare. Raccomando l'uso dell'API Transient. Sul serio. Questo è il modo più semplice. Certo, non puoi controllarlo, ma usarlo ti permette di fare qualcosa senza conoscere SQL.
  5. Calcola il tempo tra tentativi di accesso non riusciti per un particolare IP.
  6. Avere uno strumento o un codice PHP per resettare uno di quei contatori e bloccare l'IP del cliente. Cosa succede se alcuni clienti legittimi verranno bloccati per caso?

Sembra pazzo? Hai una seconda opzione. Puoi google e prendere alcuni frammenti di codice da alcuni blog in Internet senza alcuna garanzia e supporto.

Conclusione: puoi trovare molti consigli su come limitare i tentativi di accesso senza plugin su Internet. Ma tutti i consigli sono forniti da persone che non sanno nemmeno come funziona esattamente l'algoritmo di autenticazione di WordPress, compresi quei bravi ragazzi di StackOverflow. Ma, in ogni caso, puoi farlo, se davvero non ti preoccupi della sicurezza del tuo sito perché non c'è alcuna possibilità di farlo in modo corretto senza le competenze di codifica PHP e la conoscenza del meccanismo di autenticazione di WordPress.

Se c'è qualcosa di strano nel tuo sito che chiamerai?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.