Inlogpogingen zonder plug-in beperken?
Hoe u uw WordPress-inlogpagina kunt beveiligen zonder een plug-in te gebruiken
English version: Limit login attempts without a plugin?
Je kunt daar op internet genoeg commentaar en advies over vinden. Maar is het echt?
Standaard staat WordPress onbeperkte inlogpogingen toe via het inlogformulier, het verzenden van speciale cookies, het gebruiken van XML-RPC-aanroepen en REST API-aanroepen. Hierdoor kunnen wachtwoorden relatief eenvoudig worden gekraakt via brute force-aanvallen. Tegenwoordig proberen hackers en bots constant in te loggen op uw WordPress-site door uw beheerderswachtwoord en wachtwoorden van andere geregistreerde gebruikers op de site te raden. Dus als u uw site wilt beschermen zonder een plugin te gebruiken, hebt u het volgende nodig:
- Kennis van PHP .
- Weet genoeg over authenticatiefilter en actie (ingebouwd in WordPress) om ze te hooken. Ik raad aan om te beginnen met hooks als 'authenticate' en 'wp_login_failed'.
- Houd bij hoe u het inlogformulier, XML RPC en REST API-autorisatieverzoeken bijhoudt. En vergeet vooral de autorisatiecookies niet (zijn deze geldig?).
- Sla ergens alle pogingen op met alle geprobeerde logins en alle IP-adressen om te berekenen wanneer en welk IP u moet blokkeren. Ik raad aan om Transient API te gebruiken. Echt waar. Dit is de makkelijkste manier. Natuurlijk kunt u het niet controleren, maar door het te gebruiken kunt u iets doen zonder kennis van SQL.
- Bereken de tijd tussen mislukte inlogpogingen voor een specifiek IP-adres.
- Heb je een tool of PHP-code om een van die tellers en geblokkeerde klant-IP's te resetten? Wat als een legitieme klant per ongeluk wordt geblokkeerd?
Lijkt het gek? Je hebt een tweede optie. Je kunt googlen en wat codefragmenten van een blog op internet pakken zonder enige garantie of ondersteuning.
Conclusie: Je kunt op internet genoeg advies vinden over hoe je inlogpogingen kunt beperken zonder plugin. Maar al het advies wordt gegeven door mensen die niet eens precies weten hoe het WordPress authenticatie algoritme werkt, inclusief die aardige jongens van stackoverflow. Maar hoe dan ook, je kunt dat doen, als je je echt geen zorgen maakt over de veiligheid van je site, want er is geen optie om het op de juiste manier te doen zonder PHP codeervaardigheden en kennis van het WordPress authenticatie mechanisme.
Wie ga je bellen als er iets vreemds op je site staat?
WordPress 5.4.1. Een beveiligingsupdate lost zeven XSS-kwetsbaarheden op
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.