Allora, comunque quello che ho fatto per prevenire gli attacchi "brute force", deve per forza funzionare per quelli che ci provano con programmi che riescono solo a svolgere molto più velocemente il lavoro che altrimenti si farebbe con il solo uso della tastiera provando tutte le combinazioni possibilidi users e passwords, senza altri accorgimenti, quindi meglio di nulla è; per non parlare dei tentativi manuali dopo aver seguito fisicamente alla sequenza della digitazione dei tasti da parte di una seconda persona presente fisicamente.

La soluzione consigliatomi non è funzionale nel mio caso perché poi dovrebbe bloccare tutti gli amministratori, e pensa che non è pratico bloccare l'area riservata ogni 5 tentativi, rischi di creare una possibilità di sabotaggio intesa ome ostruzionismo e fastidio ai danni dell'amministratore o amministratori del sito.

Nota anche, che finché non ha azzeccato i dati non si sa con quale dati amministratore vuole entrare nel sito.

Lo stesso per l'accorgimento per non fare il redirect, che poi non servono a nulla le sessioni, pensa che dopo aver fatto il login e poi dopo il logout, senza quell'accorgimento si può andare indietro nella storia delle pagine con la semplice freccetta del browser fino alla pagina in cui si è fatto il login e un bel refresh e chiunque l'ha fatto si ritrova loggato.

Per...Serve a non far girare dati utili nelle variabili di sessione.
Scusa volevo dire dati sensibili, utili ai maleintenzionati, che siano riusciti ad ottenere lID di sessione valido.

Per la criptazione dei dati user agent sono d'accordo con la tua risposta, volevo dire che qualcuno potrebbe provare comunque dei valori comuni delle stringhe user agent finché non trova quello giusto è meglio usare qualche accorgimento in più....

Per l'IP purtroppo numerosi grandi provider di servizi Internet hanno utenti che condividono indirizzi IP e nomi dell'host pubblici; i server proxy potrebbero causare la modifica di un indirizzo IP di un utente tra le singole richieste.