Security Blog
Security Blog
Posted By Gregory

Limitar tentativas de login sem um plugin?

Como proteger a página de login do WordPress sem usar um plugin


English version: Limit login attempts without a plugin?


Você pode encontrar muitos comentários e conselhos sobre isso na Internet. Mas isso é real?

Por padrão, o WordPress permite tentativas de login ilimitadas através do formulário de login, enviando cookies especiais, usando chamadas XML-RPC e REST API. Isso permite que as senhas sejam quebradas com relativa facilidade por meio do ataque de força bruta. Hoje em dia hackers e bots estão constantemente tentando entrar no seu site WordPress, adivinhando sua senha de administrador e senhas de outro usuário cadastrado no site. Então, se você quer proteger seu site sem usar o plugin, você precisa:

  1. Conheça bem o PHP .
  2. Saiba o suficiente sobre o filtro de autenticação e a ação (embutida no WordPress) para conectá-los. Eu recomendo começar com ganchos como 'autenticar' e 'wp_login_failed'.
  3. Rastreie o formulário de login da postagem, as solicitações de autorização da XML RPC e da REST API e, sim, não esqueça os cookies de autorização (eles são válidos?).
  4. Armazene em algum lugar todas as tentativas com todas as tentativas de login e todos os endereços IP para calcular quando e qual IP você precisa bloquear. Eu recomendo usar API transiente. A sério. Esta é a maneira mais fácil. Claro, você não pode controlá-lo, mas usá-lo permite que você faça algo sem conhecimento de SQL.
  5. Calcular o tempo entre tentativas de login malsucedidas para determinado IP.
  6. Ter uma ferramenta ou código PHP para redefinir qualquer um desses contadores e bloquear o IP do cliente. E se algum cliente legítimo for bloqueado por acaso?

Parece louca? Você tem uma segunda opção. Você pode google e pegar alguns trechos de código de algum blog na Internet sem qualquer garantia e suporte.

Conclusão: Você pode encontrar muitos conselhos sobre como limitar as tentativas de login sem o plug-in na Internet. Mas todo o conselho é dado por pessoas que nem sabem como o algoritmo de autenticação do WordPress funciona exatamente, incluindo aqueles caras legais do stackoverflow. Mas, de qualquer forma, você pode fazer isso, se você realmente não se preocupar com a segurança do seu site, porque não há nenhuma opção para fazê-lo da maneira certa, sem habilidades de codificação PHP e conhecimento do mecanismo de autenticação do WordPress.

Se há algo estranho em seu site para quem você vai ligar?


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.