User is blocked, but active lockout list is empty

Hi solidgray1org,

…, but the “lockout list” is empty.

You mean the Active Lockouts card in the Security > Dashboard screen is empty ?

+++++ To prevent any confusion, I’m not iThemes +++++

The message displayed to the user means it is a user lockout. So the user is able to access the login page, but as soon as user/password is submitted the lockout screen is displayed. Correct?

Is there any caching plugin activated on the site ? If so which caching plugin ?

If no caching plugin is being used, I think I’ll need to do a user lockout test. I know host lockouts work (already tested). So there might be a user lockout bug …

What type of user are we talking about ? (Assigned role: Administrator, Editor, Author, Contributor, Subscriber or custom role).

It’s probably not a caching issue, since the W3 total cache plugin has never been a problem (as far as I know).

So I did some user lockout tests and apart from 1 (unrelated) bug it seems to be functioning properly.

Note user lockouts are temporary and are automatically released after (default) 15 minutes. In case of a brute force attack which results in user accounts being lockout out repeatedly the temporary nature of a user lockout might change into a more “permanent” type. This is just perception. It’s still a temporary lockout. It just gets locked out again as soon as the previous lockout is released…

There are 4 things you can check:

1. Log into the database using eg phpMyAdmin, and check whether any records exist in the wp_itsec_lockouts table. Note your database table prefix may be different than “wp_”.

2. Navigate to Security > Dashboard and check for any javascript errors in the browser developer console.

3. While on the iTSec plugin Dashboard page also have a look at the Brute Force Attacks card. Does it show any recent brute force attacks activity ?

4. Last but not least check for any errors in the web server error_log.

Please also share a bit of env data, like:

• WordPress version.
• iTSec plugin version.
• Web Server type (Apache, NGINX, IIS or other) and version.

Ik kom er net achter dat we waarschijnlijk gewoon in het Nederlands kunnen praten, haha.

Mooi, dat het probleem vanzelf is opgelost. Vanwege het tijdelijke karakter van een user lockout hield ik daar al een beetje rekening mee. Blijft wel vreemd dat die user lockout niet zichtbaar was in de Active Lockouts lijst.

Als dit probleem zich op jullie backpack website voordeed, hieronder de environment info (voor zover ik deze kon achterhalen). Mochten jullie in de toekomst een nieuw topic openen deel dan ook deze info.

WordPress versie: 5.4.2 (PHP versie: 7.4.23)
iTSec plugin versie: 7.9.0 (-> 7.9.1)
Web Server type: NGINX, Versie: onbekend

Wel nog 3 opmerkingen mbt deze info:

– Deze informatie is (oa) verkregen middels een Sucuri SiteScan.

– PHP versie zou eigenlijk niet te achterhalen moeten zijn. Je kunt contact opnemen met de partij die je website heeft gemaakt (of je web hosting partij) en hen vragen om te checken of de PHP expose_php instelling op off staat:

expose_php = off

Het resultaat van de Sucuri SiteCheck geeft aan dat alleen voor bepaalde URLs de PHP versie in de header wordt getoond. Dit kan ook met caching te maken hebben. Opschonen van de cache zou in dat geval ook een optie kunnen zijn.

– Het is aanbevolen om de iTSec 7.9.1 release (handmatig) toe te passen aangezien deze versie oa een security fix bevat. WordPress zal aangeven dat er een iTSec 8.0.2 update beschikbaar is maar ik adviseer deze stap voorlopig niet te nemen. Blijf voorlopig maar op de 7.x.x branch. Thank me later 😉

Handmatig updaten met behoud van huidige instellingen doe je zo (zelf getest):

– Login op het WordPress Dashboard als een Administrator gebruiker en navigeer naar de Plugins menu optie. Klik op de Deactivate link van de iTSec 7.9.0 plugin (Let op: NIET deleten!)

– Log dan in op je control panel bij je hosting provider (of FTP) en navigeer naar de bestandsbeheer (file manager) toepassing. Ga naar de wp-content/plugins map en verwijder de better-wp-security submap met alle inhoud.

– Na een refresh/reload van de Plugins pagina zie je dat de iTSec 7.9.0 plugin is verdwenen. Klik nu bovenaan de pagina op de Add New knop gevolgd door een klik op de Upload Plugin knop. Klik nu op de Select file knop en selecteer het eerder gedownloade better-wp-security.7.9.1.zip bestand. Tenslotte klik je op de Install Now knop. Je kunt nu de iTSec 7.9.1 plugin activeren.

Vragen? Gewoon lekker in het Nederlands…

• This reply was modified 2 years, 7 months ago by nlpro.