Was macht das Plugin?
- Es loggt jeden fehlgeschlagenen Loginversuch (noch keine Ausgabe der geloggten Daten, das fehlt noch)
- Es schaltet automatisch Captchas ein, nach einer definierbaren Anzahl von Fehlversuchen (global und auf die IP bezogen)
- Es verschleiert die Fehlermeldungen bei fehlgeschlagenen Logins (es wird nicht mehr gesagt, ob das Passwort oder der Username falsch war oder ob der Benutzer geblockt wird)
- Es blockt den Benutzer nach einer definierbaren Anzahl an Fehlversuchen für eine definierbare Zeit (Achtung, DoS-Gefahr!)
- Wirkt sowohl auf ACP wie Normallogin
Achtung, Achtung, Achtung! Plugin noch nicht fertig, Bugs können auftreten und damit jeglichen Login verhindern!
Planung:
- Listing aller fehlgeschlagenen Loginversuche im ACP
- Mitteilungsbox nach dem Login in der die User über die Anzahl der fehlgeschlagenen Logins seit ihrem letzten Besuch informiert werden
- Evt. Captchaunterstützung für ACP-Login
- Evt. IP-basierte Blockierung, zusätzlich zur benutzerbasierten (und vor ihr greifend), was DoS-Angriffe helfen vermeiden sollte
- Evt. eine Erkennung von DoS-Angriffen und entsprechende Gegenmaßnahme