Security Blog
Security Blog

Inlogpogingen beperken zonder plug-in?

Hoe u de WordPress-inlogpagina kunt beschermen zonder een plug-in te gebruiken


English version: Limit login attempts without a plugin?


Op internet kun je daar veel commentaar en advies over vinden. Maar is het echt?

Standaard staat WordPress onbeperkte inlogpogingen toe via het inlogformulier, het verzenden van speciale cookies, het gebruik van XML-RPC-aanroepen en REST API-aanroepen. Hierdoor kunnen wachtwoorden relatief gemakkelijk worden gekraakt via een brute force-aanval. Tegenwoordig proberen hackers en bots voortdurend in te loggen op uw WordPress-site door uw beheerderswachtwoord en de wachtwoorden van andere gebruikers die op de site zijn geregistreerd, te raden. Dus als u uw site wilt beschermen zonder een plug-in te gebruiken, heeft u het volgende nodig:

  1. Ken PHP goed.
  2. Weet genoeg over het authenticatiefilter en de actie (ingebouwd in WordPress) om ze aan te sluiten. Ik raad aan om te beginnen met hooks als 'authenticate' en 'wp_login_failed'.
  3. Volg post-inlogformulieren, XML RPC- en REST API-autorisatieverzoeken, en ja, vergeet autorisatiecookies niet (zijn ze geldig?).
  4. Bewaar ergens alle pogingen met alle inlogpogingen en alle IP-adressen om te berekenen wanneer en welk IP-adres u moet blokkeren. Ik raad aan om Transient API te gebruiken. Ernstig. Dit is de gemakkelijkste manier. Natuurlijk heb je er geen controle over, maar als je het gebruikt, kun je iets doen zonder kennis van SQL.
  5. Bereken de tijd tussen mislukte inlogpogingen voor een bepaald IP-adres.
  6. Zorg voor een tool of PHP-code om al deze tellers en geblokkeerde klant-IP te resetten. Wat als een legitieme klant per ongeluk wordt geblokkeerd?

Ziet er gek uit? Je hebt een tweede optie. U kunt googlen en enkele codefragmenten van een blog op internet halen zonder enige garantie en ondersteuning.

Conclusie: Op internet kunt u veel advies vinden over het beperken van inlogpogingen zonder plug-in. Maar al het advies wordt gegeven door personen die niet eens weten hoe het WordPress-authenticatiealgoritme precies werkt, inclusief die aardige jongens van StackOverflow. Maar hoe dan ook, je kunt dat doen, als je je echt geen zorgen maakt over de veiligheid van je site, want er is geen optie om het op de juiste manier te doen zonder PHP-codeervaardigheden en kennis van het WordPress-authenticatiemechanisme.

Als er iets vreemds op uw site staat, wie gaat u dan bellen?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.