Limitar as tentativas de login sem um plugin?
Como proteger a página de login do WordPress sem usar um plugin
English version: Limit login attempts without a plugin?
Você pode encontrar muitos comentários e conselhos sobre isso na Internet. Mas é real?
Por padrão, o WordPress permite tentativas ilimitadas de login por meio do formulário de login, envio de cookies especiais, uso de chamadas XML-RPC e chamadas REST API. Isso permite que as senhas sejam quebradas com relativa facilidade por meio de ataque de força bruta. Hoje em dia, hackers e bots estão constantemente tentando fazer login no seu site WordPress, adivinhando sua senha de administrador e as senhas de outros usuários registrados no site. Portanto, se você deseja proteger seu site sem usar o plug-in, você precisa:
- Conheça bem o PHP .
- Saiba o suficiente sobre filtro de autenticação e ação (embutidos no WordPress) para conectá-los. Eu recomendo começar com hooks como 'authenticate' e 'wp_login_failed'.
- Rastreie o formulário de pós-login, as solicitações de autorização XML RPC e REST API e, sim, não se esqueça dos cookies de autorização (eles são válidos?).
- Armazene em algum lugar todas as tentativas com todas as tentativas de login e todos os endereços IP para calcular quando e qual IP você precisa bloquear. Eu recomendo usar a API Transient. Seriamente. Esta é a maneira mais fácil. Claro, você não pode controlá-lo, mas usá-lo permite que você faça algo sem conhecimento de SQL.
- Calcule o tempo entre tentativas malsucedidas de login para determinado IP.
- Tenha uma ferramenta ou código PHP para redefinir qualquer um desses contadores e bloquear o IP do cliente. E se algum cliente legítimo for bloqueado por acaso?
Parece louco? Você tem uma segunda opção. Você pode pesquisar no Google e pegar alguns trechos de código de algum blog na Internet sem qualquer garantia e suporte.
Conclusão: Você pode encontrar muitos conselhos sobre como limitar as tentativas de login sem plug-in na Internet. Mas todos os conselhos são dados por pessoas que nem sabem exatamente como o algoritmo de autenticação do WordPress funciona, incluindo aqueles caras legais do stackoverflow. Mas, de qualquer forma, você pode fazer isso, se realmente não se preocupar com a segurança do seu site, porque não há opção de fazer isso da maneira certa sem habilidades de codificação PHP e conhecimento do mecanismo de autenticação do WordPress.
Se houver algo estranho no seu site, para quem você vai ligar?
WP Cerber Security 8.7
Gerenciando senhas de aplicativos WordPress de maneira descomplicada
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.