Inlogpogingen beperken zonder plug-in?
Hoe de inlogpagina van WordPress te beschermen zonder een plug-in te gebruiken
English version: Limit login attempts without a plugin?
Op internet kun je daar veel commentaar en advies over vinden. Maar is het echt?
WordPress staat standaard onbeperkte inlogpogingen toe via het inlogformulier, het verzenden van speciale cookies, het gebruik van XML-RPC-aanroepen en REST API-aanroepen. Hierdoor kunnen wachtwoorden relatief gemakkelijk worden gekraakt via een brute force-aanval. Tegenwoordig proberen hackers en bots constant in te loggen op uw WordPress-site door uw beheerderswachtwoord en wachtwoorden van andere geregistreerde gebruikers op de site te raden. Dus als u uw site wilt beschermen zonder een plug-in te gebruiken, heeft u het volgende nodig:
- Ken PHP goed.
- Weet genoeg over authenticatiefilter en actie (ingebouwd in WordPress) om ze aan te sluiten. Ik raad aan om te beginnen met hooks zoals 'authenticate' en 'wp_login_failed'.
- Volg post-inlogformulier, XML RPC- en REST API-autorisatieverzoeken, en ja, vergeet autorisatiecookies niet (zijn ze geldig?).
- Bewaar ergens alle pogingen met alle inlogpogingen en alle IP-adressen om te berekenen wanneer en welk IP-adres u moet blokkeren. Ik raad aan om Transient API te gebruiken. Ernstig. Dit is de gemakkelijkste manier. Natuurlijk heb je er geen controle over, maar door het te gebruiken kun je iets doen zonder kennis van SQL.
- Bereken de tijd tussen mislukte inlogpogingen voor een bepaald IP-adres.
- Zorg voor een tool of PHP-code om al die tellers en geblokkeerde IP-adressen van klanten te resetten. Wat als een legitieme klant per ongeluk wordt geblokkeerd?
Ziet er gek uit? Je hebt een tweede optie. U kunt googlen en wat codefragmenten van een blog op internet pakken zonder enige garantie en ondersteuning.
Conclusie: Op internet kunt u veel advies vinden over hoe u inlogpogingen zonder plug-in kunt beperken. Maar al het advies wordt gegeven door personen die niet eens weten hoe het WordPress-authenticatie-algoritme precies werkt, inclusief die aardige jongens van stackoverflow. Maar hoe dan ook, u kunt dat doen, als u zich echt geen zorgen hoeft te maken over de beveiliging van uw site, want er is geen optie om het op de juiste manier te doen zonder PHP-coderingsvaardigheden en kennis van het WordPress-authenticatiemechanisme.
Als er iets vreemds op uw site staat, wie gaat u dan bellen?
WP Cerber Security 8.7
Beheer wachtwoorden voor WordPress-applicaties op een probleemloze manier
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.