Limitar tentativas de login sem um plugin?
How to protect WordPress login page without using a plugin
English version: Limit login attempts without a plugin?
Você pode encontrar muitos comentários e conselhos sobre isso na Internet. Mas é real?
Por padrão, o WordPress permite tentativas de login ilimitadas através do formulário de login, envio de cookies especiais, usando chamada XML-RPC e chamadas de API REST. Isso permite que as senhas sejam quebradas com relativa facilidade por meio de ataques de força bruta. Hoje em dia, hackers e bots estão constantemente tentando fazer login no seu site WordPress, adivinhando sua senha de administrador e as senhas de outros usuários cadastrados no site. Então, se você deseja proteger seu site sem usar plugin você precisa:
- Conheça bem o PHP .
- Saiba o suficiente sobre filtro e ação de autenticação (integrados ao WordPress) para conectá-los. Eu recomendo começar com ganchos como 'authenticate' e 'wp_login_failed'.
- Rastreie o formulário pós-login, solicitações de autorização XML RPC e REST API e, sim, não se esqueça dos cookies de autorização (eles são válidos?).
- Armazene em algum lugar todas as tentativas de login e todos os endereços IP para calcular quando e qual IP você precisa bloquear. Eu recomendo usar a API transitória. Seriamente. Esta é a maneira mais fácil. Claro, você não pode controlá-lo, mas usá-lo permite fazer algo sem conhecimento de SQL.
- Calcule o tempo entre tentativas de login malsucedidas para um IP específico.
- Tenha uma ferramenta ou código PHP para redefinir qualquer um desses contadores e bloquear o IP do cliente. E se algum cliente legítimo for bloqueado por acaso?
Parece louco? Você tem uma segunda opção. Você pode pesquisar no Google e obter alguns trechos de código de algum blog na Internet sem qualquer garantia e suporte.
Conclusão: Você pode encontrar muitos conselhos sobre como limitar as tentativas de login sem plugin na Internet. Mas todos os conselhos são dados por pessoas que nem sabem exatamente como funciona o algoritmo de autenticação do WordPress, incluindo aqueles caras legais do stackoverflow. Mas, de qualquer forma, você pode fazer isso, se realmente não se preocupar com a segurança do seu site, porque não há opção de fazer isso da maneira certa sem habilidades de codificação PHP e conhecimento do mecanismo de autenticação do WordPress.
Se houver algo estranho no seu site, para quem você ligará?
WP Cerber Security 9.5
WP Cerber Security 9.5.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.