Limitar tentativas de login sem um plugin?
Como proteger a página de login do WordPress sem usar um plugin
English version: Limit login attempts without a plugin?
Você pode encontrar muitos comentários e conselhos sobre isso na Internet. Mas é real?
Por padrão, o WordPress permite tentativas de login ilimitadas através do formulário de login, envio de cookies especiais, usando chamada XML-RPC e chamadas de API REST. Isso permite que as senhas sejam quebradas com relativa facilidade por meio de ataques de força bruta. Hoje em dia, hackers e bots estão constantemente tentando fazer login no seu site WordPress, adivinhando sua senha de administrador e as senhas de outros usuários cadastrados no site. Então, se você deseja proteger seu site sem usar plugin você precisa:
- Conheça bem o PHP .
- Saiba o suficiente sobre filtro e ação de autenticação (integrados ao WordPress) para conectá-los. Eu recomendo começar com ganchos como 'authenticate' e 'wp_login_failed'.
- Rastreie o formulário pós-login, solicitações de autorização XML RPC e REST API e, sim, não se esqueça dos cookies de autorização (eles são válidos?).
- Armazene em algum lugar todas as tentativas de login e todos os endereços IP para calcular quando e qual IP você precisa bloquear. Eu recomendo usar a API transitória. Seriamente. Esta é a maneira mais fácil. Claro, você não pode controlá-lo, mas usá-lo permite fazer algo sem conhecimento de SQL.
- Calcule o tempo entre tentativas de login malsucedidas para um IP específico.
- Tenha uma ferramenta ou código PHP para redefinir qualquer um desses contadores e bloquear o IP do cliente. E se algum cliente legítimo for bloqueado por acaso?
Parece louco? Você tem uma segunda opção. Você pode pesquisar no Google e obter alguns trechos de código de algum blog na Internet sem qualquer garantia e suporte.
Conclusão: Você pode encontrar muitos conselhos sobre como limitar as tentativas de login sem plugin na Internet. Mas todos os conselhos são dados por pessoas que nem sabem exatamente como funciona o algoritmo de autenticação do WordPress, incluindo aqueles caras legais do stackoverflow. Mas, de qualquer forma, você pode fazer isso, se realmente não se preocupar com a segurança do seu site, porque não há opção de fazer isso da maneira certa sem habilidades de codificação PHP e conhecimento do mecanismo de autenticação do WordPress.
Se houver algo estranho no seu site, para quem você ligará?
WP Cerber Security 8.7
Gerenciando senhas de aplicativos WordPress de maneira descomplicada
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.