• В последнее время очень сильно участились атаки брутфорса на всех ВП-сайтах. Проблема в том, что при логине нет никакой защиты от перебора паролей. Очень многие пользователи не меняют логин по умолчанию — так и оставляют admin. Поэтому достаточно зарядить скрипт перебора паролей и долбить админку до победы. Доходит даже до того, что при удалении wp-login.php скрипт всё равно долбится туда.

    Поэтому надо добавить в wp-login.php какую-нибудь защиту, не позволяющую вот так в тупую перебирать пароли. Ну или хотя бы затрудняющую перебор. Варианты, обычно, такие:
    1) капча
    2) пол часа задержки после трёх ошибочных вводов
    3) отправка на форму восстановления пароля после трёх ошибочных вводов

    Опять же, это запрос улучшений, но на трекере я ничего подобного не нахожу, а сам написать не смогу

Просмотр 15 ответов — с 1 по 15 (всего 15)
  • 1) капча

    ЗЛО!

    Но и это и остальное реализуется плагинами. И это правильно.

    Взлом сайта — больше зло. А из двух зол выбирают меньшее. Плагинами решается многое, но безопасность должна быть вшита в движок изначально.

    Тем более, что капча предполагается только после ошибочного ввода

    Что-то мне кажется, что капчи от ботов не спасают совсем, а вот от юзеров — еще как. Извините за оффтоп, наболело…

    Про капчу соглашусь, но они есть очень разные. Тут же не спам боты ломятся, а брутфорсеры — у них другой принцип. Да и привёл я это лишь как вариант.

    Что-то мне кажется, что капчи от ботов не спасают совсем, а вот от юзеров — еще как. Извините за оффтоп, наболело…

    И я о том же! Ещё как эти капчи достали. Удивляет (и бесит), что даже на мега-ресурсах юзается это долбаная рекапча, которую я могу только с 20-го раза пройти, а хрумер за доли сек. Так против кого она?

    И это при том, что нормальный кодер и без капчи легко может проверить «на человечность». Начиная от правильных вопрос-ответов и заканчивая хитрыми полями в форме, аяксами, мышеопределялками и ещё сотней способов.

    Наболело не то слово..

    Господа, здесь речь не про капчу.

    п.2 вполне

    Ну тут дело каждого, существует множество плагинов для решения данных проблем, поэтому, лично я, не считаю необходимым встраивать защиту определенную в код самого вп, т.к. каждый выбирает себе по вкусу.

    Плагинами решается многое, но безопасность должна быть вшита в движок изначально.

    Ее вполне достаточно. Капчу «фтопку»!

    Очень многие пользователи не меняют логин по умолчанию — так и оставляют admin.

    Ну дык… Это дырка в безопасности, сидящего на стуле…
    Гы-ы, Чего уж там, давайте тогда папки и файлы переименовывать, wp-login.php в 757gsf87gr78s6g87fg.php, например ))

    Какие-нибудь подвижки в вопросах защиты есть? Сейчас в инете идёт массовый брутфорс сайтов на ВП. Причём боты даже не разбирают, как там движок — мне пытались в джумлу стучаться.
    Вот ещё инфа — http://webimho.ru/topic/5540/

    Вообще, как-то странно, что самый популярный движок не имеет никакой защиты от брутфорса.

    Вообще, как-то странно, что самый популярный движок не имеет никакой защиты от брутфорса.

    Если кому надо — он может установить плагин для этого.
    И это есть абсолютно правильная логика разработчиков

    Есть ли где-то слова разработчиков о том, что у них такая логика?

    Есть ли где-то слова разработчиков о том, что у них такая логика?

    Есть ВП БЕЗ этого и есть плагины ДЛЯ этого. Не достаточно для понимания логики?

    В этом нет никакой логики. Сотни тысяч пользователей знать не знают ни про какие плагины.

    Atrax

    (@atrax)

    Ethical engineer

    Тема скатилась во флуд, закрываю.

Просмотр 15 ответов — с 1 по 15 (всего 15)
  • Тема «Защита от брутфорса» закрыта для новых ответов.