Security Blog
Security Blog

Limitar tentativas de login sem um plugin?

Como proteger a página de login do WordPress sem usar um plugin


English version: Limit login attempts without a plugin?


Você pode encontrar muitos comentários e conselhos sobre isso na Internet. Mas é real?

Por padrão, o WordPress permite tentativas de login ilimitadas através do formulário de login, envio de cookies especiais, usando chamada XML-RPC e chamadas de API REST. Isso permite que as senhas sejam quebradas com relativa facilidade por meio de ataques de força bruta. Hoje em dia, hackers e bots estão constantemente tentando fazer login no seu site WordPress, adivinhando sua senha de administrador e as senhas de outros usuários cadastrados no site. Então, se você deseja proteger seu site sem usar plugin você precisa:

  1. Conheça bem o PHP .
  2. Saiba o suficiente sobre filtro e ação de autenticação (integrados ao WordPress) para conectá-los. Eu recomendo começar com ganchos como 'authenticate' e 'wp_login_failed'.
  3. Rastreie o formulário pós-login, solicitações de autorização XML RPC e REST API e, sim, não se esqueça dos cookies de autorização (eles são válidos?).
  4. Armazene em algum lugar todas as tentativas de login e todos os endereços IP para calcular quando e qual IP você precisa bloquear. Eu recomendo usar a API transitória. Seriamente. Esta é a maneira mais fácil. Claro, você não pode controlá-lo, mas usá-lo permite fazer algo sem conhecimento de SQL.
  5. Calcule o tempo entre tentativas de login malsucedidas para um IP específico.
  6. Tenha uma ferramenta ou código PHP para redefinir qualquer um desses contadores e bloquear o IP do cliente. E se algum cliente legítimo for bloqueado por acaso?

Parece louco? Você tem uma segunda opção. Você pode pesquisar no Google e obter alguns trechos de código de algum blog na Internet sem qualquer garantia e suporte.

Conclusão: Você pode encontrar muitos conselhos sobre como limitar as tentativas de login sem plugin na Internet. Mas todos os conselhos são dados por pessoas que nem sabem exatamente como funciona o algoritmo de autenticação do WordPress, incluindo aqueles caras legais do stackoverflow. Mas, de qualquer forma, você pode fazer isso, se realmente não se preocupar com a segurança do seu site, porque não há opção de fazer isso da maneira certa sem habilidades de codificação PHP e conhecimento do mecanismo de autenticação do WordPress.

Se houver algo estranho no seu site, para quem você ligará?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.