Security Blog
Security Blog
Posted By Gregory

Beperk loginpogingen zonder een plug-in?

Hoe de WordPress inlogpagina te beschermen zonder een plug-in te gebruiken


English version: Limit login attempts without a plugin?


Hierover kunt u op internet veel commentaar en advies vinden. Maar is het echt?

WordPress staat standaard onbeperkte inlogpogingen toe via het inlogformulier, het verzenden van speciale cookies, het gebruiken van XML-RPC-aanroep en REST API-aanroepen. Hierdoor kunnen wachtwoorden relatief gemakkelijk worden gekraakt via brute force-aanvallen. Tegenwoordig proberen hackers en bots constant in te loggen op uw WordPress-site door uw beheerderswachtwoord en -wachtwoorden van andere geregistreerde gebruikers op de site te raden. Dus als u uw site wilt beschermen zonder plug-in te gebruiken, hebt u het volgende nodig:

  1. Ken PHP goed.
  2. Weet voldoende over authenticatiefilter en actie (ingebouwd in de WordPress) om ze te koppelen. Ik raad aan om te beginnen met hooks zoals 'authenticeren' en 'wp_login_failed'.
  3. Aanmeldingsformulier bijhouden, XML RPC- en REST API-autorisatieverzoeken, en ja, vergeet geen autorisatiecookies (zijn ze geldig?).
  4. Bewaar ergens alle pogingen met alle gepoogde aanmeldingen en alle IP-adressen om te berekenen wanneer en welk IP-adres u moet blokkeren. Ik raad aan om Transient API te gebruiken. Ernstig. Dit is de gemakkelijkste manier. Natuurlijk kun je het niet besturen, maar door het te gebruiken kun je iets doen zonder kennis van SQL.
  5. Bereken de tijd tussen onsuccesvolle inlogpogingen voor bepaalde IP.
  6. Een tool of PHP-code hebben om al deze tellers en geblokkeerde klant-IP te resetten. Wat als een legitieme klant door toeval wordt geblokkeerd?

Ziet het er gek uit? Je hebt een tweede optie. U kunt googelen en enkele codefragmenten van een of andere blog op internet pakken zonder enige garantie en ondersteuning.

Conclusie: u vindt veel advies over het beperken van inlogpogingen zonder plug-in op internet. Maar alle adviezen worden gegeven door personen die niet eens weten hoe het WordPress-authenticatiealgoritme precies werkt, inclusief die aardige kerels van stackoverloop. Maar hoe dan ook, u kunt dat doen, als u zich echt geen zorgen hoeft te maken over de veiligheid van uw site, want er is geen optie om het op de juiste manier te doen zonder PHP-codeervaardigheden en kennis van het WordPress-authenticatiemechanisme.

Als er iets vreemds op je site staat dat je gaat bellen?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.