Limitar tentativas de login sem um plugin?
Como proteger a página de login do WordPress sem usar um plugin
English version: Limit login attempts without a plugin?
Você pode encontrar muitos comentários e conselhos sobre isso na Internet. Mas será que é real?
Por padrão, o WordPress permite tentativas ilimitadas de login por meio do formulário de login, enviando cookies especiais, usando chamadas XML-RPC e chamadas REST API. Isso permite que senhas sejam quebradas com relativa facilidade por meio de ataque de força bruta. Hoje em dia, hackers e bots estão constantemente tentando fazer login no seu site WordPress adivinhando sua senha de administrador e senhas de outros usuários registrados no site. Então, se você quiser proteger seu site sem usar o plugin, você precisa:
- Conheça bem PHP .
- Saiba o suficiente sobre filtro de autenticação e ação (embutidos no WordPress) para enganchá-los. Recomendo começar com ganchos como 'authenticate' e 'wp_login_failed'.
- Rastreie formulários de login posteriores, solicitações de autorização XML RPC e REST API e, claro, não se esqueça dos cookies de autorização (eles são válidos?).
- Armazene em algum lugar todas as tentativas com todos os logins tentados e todos os endereços IP para calcular quando e qual IP você precisa bloquear. Eu recomendo usar a Transient API. Sério. Essa é a maneira mais fácil. Claro, você não pode controlá-la, mas usá-la permite que você faça algo sem conhecimento de SQL.
- Calcular o tempo entre tentativas de login malsucedidas para um IP específico.
- Tenha uma ferramenta ou código PHP para zerar qualquer um desses contadores e IP de cliente bloqueado. E se algum cliente legítimo for bloqueado por acaso?
Parece loucura? Você tem uma segunda opção. Você pode pesquisar no Google e pegar alguns trechos de código de algum blog na Internet sem nenhuma garantia e suporte.
Conclusão: Você pode encontrar muitos conselhos sobre como limitar tentativas de login sem plugin na Internet. Mas todos os conselhos são dados por pessoas que nem sabem exatamente como o algoritmo de autenticação do WordPress funciona, incluindo aqueles caras legais do stackoverflow. Mas, de qualquer forma, você pode fazer isso, se realmente não se preocupar com a segurança do seu site, porque não há opção de fazer isso da maneira certa sem habilidades de codificação PHP e conhecimento do mecanismo de autenticação do WordPress.
Se houver algo estranho no seu site, para quem você vai ligar?
WordPress 5.4.1. Uma atualização de segurança corrige sete vulnerabilidades XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.