Hallo Jessica,

willst Du den User sperren oder den aktuellen Besucher (welcher meint der User zu sein)?
Ersteres wäre per Zähler sehr einfach im Datensatz des Users.
Letzteres ist schwieriger, da Du den Besucher irgendwie wiedererkennen musst. Eine Lösung wäre da vielleicht noch die IP-Adressen der letzten drei fehlgeschlagenen Login-Versuche zu protokollieren und ggf. den Zugriff zu verweigern - kostet aber deutlich Aufwand (Abfrage + Speicher (3x IP + 3x Loginzeit)). In Zweifel wählt sich der User dann neu ein, und schon war alles umsonst.

Grüße aus Würzburg
Julian