Het aantal inlogpogingen beperken zonder een plugin?
Hoe bescherm je de WordPress-inlogpagina zonder een plugin te gebruiken?
English version: Limit login attempts without a plugin?
Je kunt daarover talloze reacties en adviezen vinden op internet. Maar is het echt waar?
Standaard staat WordPress onbeperkte inlogpogingen toe via het inlogformulier, het verzenden van speciale cookies, het gebruik van XML-RPC-aanroepen en REST API-aanroepen. Hierdoor kunnen wachtwoorden relatief eenvoudig worden gekraakt via een brute-force-aanval. Tegenwoordig proberen hackers en bots voortdurend in te loggen op uw WordPress-site door uw beheerderswachtwoord en de wachtwoorden van andere geregistreerde gebruikers te raden. Dus, als u uw site wilt beschermen zonder een plugin te gebruiken, heeft u het volgende nodig:
- Beheers PHP goed.
- Zorg dat je voldoende kennis hebt van authenticatiefilters en -acties (ingebouwd in WordPress) om ze te kunnen gebruiken. Ik raad aan om te beginnen met hooks zoals 'authenticate' en 'wp_login_failed'.
- Houd de autorisatieverzoeken bij die na het inloggen binnenkomen, via XML RPC en REST API, en vergeet natuurlijk de autorisatiecookies niet (zijn ze geldig?).
- Bewaar ergens alle inlogpogingen, inclusief alle IP-adressen, om te berekenen wanneer en welke IP-adressen je moet blokkeren. Ik raad aan om de Transient API te gebruiken. Echt waar. Dit is de makkelijkste manier. Natuurlijk heb je er geen controle over, maar met Transient API kun je iets doen zonder SQL-kennis.
- Bereken de tijd tussen mislukte inlogpogingen voor een specifiek IP-adres.
- Zorg voor een tool of PHP-code om al die tellers en geblokkeerde klant-IP-adressen te resetten. Wat als een legitieme klant per ongeluk geblokkeerd wordt?
Klinkt dat gek? Je hebt een tweede optie. Je kunt via Google codefragmenten van een blog op internet halen, maar zonder enige garantie of ondersteuning.
Conclusie: Je kunt op internet genoeg advies vinden over hoe je inlogpogingen kunt beperken zonder plugin. Maar al dat advies komt van mensen die niet eens precies weten hoe het WordPress-authenticatiealgoritme werkt, inclusief die aardige mensen van Stack Overflow. Hoe dan ook, je kunt het doen als je je geen zorgen maakt over de beveiliging van je site, want er is geen juiste manier om dit te doen zonder PHP-programmeervaardigheden en kennis van het WordPress-authenticatiemechanisme.
Als er iets vreemds op je website staat, wie ga je dan bellen?
WP Cerber Security 8.0
WP Cerber Security 8.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.