公式サイトとSSLログインにもログイン失敗端末の10秒ブロックを導入しました。

こっちは、
パスワードログインなら問題ないが、
セッションログインだと、確率的にはありえないが、
ユーザー情報をメモリ記憶しちゃうとセッションIDの重複がゼロではなくなって、
無効セッションでのログインができてしまう可能性があるので、
メモリ記憶はなしでデータベース記憶にしました。

ログイン失敗とは、パスワードを利用したログインなので、
セッションIDでのログイン失敗は失敗とカウントしません。

ユーザー端末がウイルスに感染していて正規端末からの不正ログインとかなら別ですが、
セッションIDは端末と一致しないと無効なので、
セッションIDによる不正ログインは考えられません。

総当たり攻撃みたいな不正ログインに無防備なんで、
XML-RPCに不正ログイン対策機能を入れました。
ログインに失敗すると最大10秒間ブロックされます。

また、
DBアクセス回数を減らすために、
ログインに成功したらユーザー情報を10分間メモリに記憶することにしたんで、
パスワードを変更した場合最大10分間反映しません。


公式サイトのログイン機能の方もログインに失敗した端末のブロック機能入れると思います。