¿Limitar los intentos de inicio de sesión sin un complemento?
Cómo proteger la página de inicio de sesión de WordPress sin usar un complemento
English version: Limit login attempts without a plugin?
Puede encontrar muchos comentarios y consejos al respecto en Internet. ¿Pero es real?
De forma predeterminada, WordPress permite intentos de inicio de sesión ilimitados a través del formulario de inicio de sesión, el envío de cookies especiales, el uso de llamadas XML-RPC y llamadas API REST. Esto permite descifrar las contraseñas con relativa facilidad mediante un ataque de fuerza bruta. Hoy en día, los piratas informáticos y los bots intentan constantemente iniciar sesión en su sitio de WordPress adivinando su contraseña de administrador y las contraseñas de otros usuarios registrados en el sitio. Entonces, si desea proteger su sitio sin usar un complemento, necesita:
- Conoce bien PHP .
- Sepa lo suficiente sobre el filtro de autenticación y la acción (integrado en WordPress) para engancharlos. Recomiendo comenzar con ganchos como 'autenticar' y 'wp_login_failed'.
- Realice un seguimiento del formulario de inicio de sesión posterior, XML RPC y solicitudes de autorización de API REST, y sí, no olvide las cookies de autorización (¿son válidas?).
- Almacene en algún lugar todos los intentos con todos los intentos de inicio de sesión y todas las direcciones IP para calcular cuándo y qué IP necesita bloquear. Recomiendo usar la API transitoria. En serio. Esta es la manera más fácil. Por supuesto, no puede controlarlo, pero usarlo le permite hacer algo sin conocimiento de SQL.
- Calcule el tiempo entre intentos de inicio de sesión fallidos para una IP en particular.
- Tenga una herramienta o código PHP para restablecer cualquiera de esos contadores y bloquear la IP del cliente. ¿Qué pasa si algún cliente legítimo es bloqueado por casualidad?
¿Parece loco? Tienes una segunda opción. Puede buscar en Google y obtener algunos fragmentos de código de algún blog en Internet sin ninguna garantía ni soporte.
Conclusión: puede encontrar muchos consejos sobre cómo limitar los intentos de inicio de sesión sin un complemento en Internet. Pero todos los consejos los dan personas que ni siquiera saben cómo funciona exactamente el algoritmo de autenticación de WordPress, incluidos los buenos chicos de stackoverflow. Pero, de todos modos, puede hacerlo, si realmente no se preocupa por la seguridad de su sitio porque no hay opción para hacerlo correctamente sin habilidades de codificación PHP y conocimiento del mecanismo de autenticación de WordPress.
Si hay algo extraño en su sitio, ¿a quién llamará?
WP Cerber Security 9.5
WP Cerber Security 9.5.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.