Limitar tentativas de login sem um plugin?
Como proteger a página de login do WordPress sem usar um plugin
English version: Limit login attempts without a plugin?
Você pode encontrar muitos comentários e conselhos sobre isso na Internet. Mas será que é real?
Por padrão, o WordPress permite tentativas ilimitadas de login por meio do formulário de login, enviando cookies especiais, usando chamadas XML-RPC e chamadas REST API. Isso permite que senhas sejam quebradas com relativa facilidade por meio de ataque de força bruta. Hoje em dia, hackers e bots estão constantemente tentando fazer login no seu site WordPress adivinhando sua senha de administrador e senhas de outros usuários registrados no site. Então, se você quiser proteger seu site sem usar o plugin, você precisa:
- Conheça bem PHP .
- Saiba o suficiente sobre filtro de autenticação e ação (embutidos no WordPress) para enganchá-los. Recomendo começar com ganchos como 'authenticate' e 'wp_login_failed'.
- Rastreie formulários de login posteriores, solicitações de autorização XML RPC e REST API e, claro, não se esqueça dos cookies de autorização (eles são válidos?).
- Armazene em algum lugar todas as tentativas com todos os logins tentados e todos os endereços IP para calcular quando e qual IP você precisa bloquear. Eu recomendo usar a Transient API. Sério. Essa é a maneira mais fácil. Claro, você não pode controlá-la, mas usá-la permite que você faça algo sem conhecimento de SQL.
- Calcular o tempo entre tentativas de login malsucedidas para um IP específico.
- Tenha uma ferramenta ou código PHP para zerar qualquer um desses contadores e IP de cliente bloqueado. E se algum cliente legítimo for bloqueado por acaso?
Parece loucura? Você tem uma segunda opção. Você pode pesquisar no Google e pegar alguns trechos de código de algum blog na Internet sem nenhuma garantia e suporte.
Conclusão: Você pode encontrar muitos conselhos sobre como limitar tentativas de login sem plugin na Internet. Mas todos os conselhos são dados por pessoas que nem sabem exatamente como o algoritmo de autenticação do WordPress funciona, incluindo aqueles caras legais do stackoverflow. Mas, de qualquer forma, você pode fazer isso, se realmente não se preocupar com a segurança do seu site, porque não há opção de fazer isso da maneira certa sem habilidades de codificação PHP e conhecimento do mecanismo de autenticação do WordPress.