Como corrigir o bloqueio de login que não funciona no All in One Security

Porque o Enable Login Lockdown Feature provavelmente esta desmarcado ou o Max Login Attempts esta alto demais. O AIOS registra a tentativa no log, mas so cria o bloqueio quando o número de falhas do mesmo IP passa do limite dentro do Login Retry Time Period. Ligue o recurso e baixe o limite para 3 a 5 tentativas.

Nem sempre. O Login Lockdown do AIOS conta falhas que passam pelo gancho de autenticacao do wp-login.php. Formulários de login do tema, a página My Account do WooCommerce ou login por AJAX podem não acionar esse gancho, entao a falha não e contada. Force o login padrão do WordPress ou ative o CAPTCHA de login.

Atras de um CDN ou proxy, o AIOS pode ler o IP do próprio Cloudflare para todos os visitantes em vez do IP real. Assim, falhas de atacantes diferentes se misturam num so IP e o contador por IP fica confuso. Ajuste a detecção de IP do visitante nas configurações avancadas para ler o IP real.

Numa aba anonima, erre a senha de proposito o número de vezes do seu Max Login Attempts. O AIOS deve mostrar a mensagem de bloqueio e listar o IP em Currently Locked Out IP Addresses. Antes disso, coloque o seu IP fixo na allowlist para não ficar trancado de verdade durante o teste.

Sim. Se um plugin de cache ou o Cloudflare entrega o wp-login.php em cache para visitantes anonimos, a página aparece sem executar o PHP do AIOS que conta a tentativa. Exclua o /wp-login.php de qualquer regra de cache de página para que o lockdown volte a contar e bloquear.

Para a maioria dos sites, um Max Login Attempts de 3 a 5 com Time Length of Lockout de 60 minutos já barra forca bruta sem incomodar usuários reais. Limites como 20 fazem o bot desistir e trocar de IP antes de ser trancado, e e por isso que muita gente acha que o AIOS não esta bloqueando.

Use FTP ou o gerenciador de arquivos da hospedagem para renomear a pasta wp-content/plugins/all-in-one-wp-security-and-firewall, o que desativa o AIOS na forca e libera o login. Com o acesso de volta, renomeie a pasta de novo, adicione o seu IP na allowlist e ajuste o limite antes de reativar a proteção.