Security Blog
Security Blog

Limitar tentativas de login sem um plugin?

Como proteger a página de login do WordPress sem usar um plugin


English version: Limit login attempts without a plugin?


Você pode encontrar muitos comentários e conselhos sobre isso na Internet. Mas será que é real?

Por padrão, o WordPress permite tentativas ilimitadas de login por meio do formulário de login, enviando cookies especiais, usando chamadas XML-RPC e chamadas REST API. Isso permite que senhas sejam quebradas com relativa facilidade por meio de ataque de força bruta. Hoje em dia, hackers e bots estão constantemente tentando fazer login no seu site WordPress adivinhando sua senha de administrador e senhas de outros usuários registrados no site. Então, se você quiser proteger seu site sem usar o plugin, você precisa:

  1. Conheça bem PHP .
  2. Saiba o suficiente sobre filtro de autenticação e ação (embutidos no WordPress) para enganchá-los. Recomendo começar com ganchos como 'authenticate' e 'wp_login_failed'.
  3. Rastreie formulários de login posteriores, solicitações de autorização XML RPC e REST API e, claro, não se esqueça dos cookies de autorização (eles são válidos?).
  4. Armazene em algum lugar todas as tentativas com todos os logins tentados e todos os endereços IP para calcular quando e qual IP você precisa bloquear. Eu recomendo usar a Transient API. Sério. Essa é a maneira mais fácil. Claro, você não pode controlá-la, mas usá-la permite que você faça algo sem conhecimento de SQL.
  5. Calcular o tempo entre tentativas de login malsucedidas para um IP específico.
  6. Tenha uma ferramenta ou código PHP para zerar qualquer um desses contadores e IP de cliente bloqueado. E se algum cliente legítimo for bloqueado por acaso?

Parece loucura? Você tem uma segunda opção. Você pode pesquisar no Google e pegar alguns trechos de código de algum blog na Internet sem nenhuma garantia e suporte.

Conclusão: Você pode encontrar muitos conselhos sobre como limitar tentativas de login sem plugin na Internet. Mas todos os conselhos são dados por pessoas que nem sabem exatamente como o algoritmo de autenticação do WordPress funciona, incluindo aqueles caras legais do stackoverflow. Mas, de qualquer forma, você pode fazer isso, se realmente não se preocupar com a segurança do seu site, porque não há opção de fazer isso da maneira certa sem habilidades de codificação PHP e conhecimento do mecanismo de autenticação do WordPress.

Se houver algo estranho no seu site, para quem você vai ligar?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.