Ответ
Брутфорс паролей админок WordPress, DLE и Joomla Опции темы
Старый 03.08.2013, 21:20
  #11
stomatolog
 
Аватар для stomatolog
Регистрация: 27.12.2011
Сообщений: 1,059

Ну вот так я и думал. Говнозащита это, в общем. Имея достаточный пул проксей атакующий может элементарно парализовать работу данного логина. Надо не блокировать этот логин, а капчу врубать. Человек введёт, а бот нет.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 03.08.2013, 22:38
  #12
miraida
 
Аватар для miraida
Регистрация: 11.02.2012
Сообщений: 2,241

Человек введет правильный пас и войдет с первого раза.

Все остальное должно блокироваться и именно по времени, чтобы исключить любой брутфорс. Капча мнимая защита.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 03.08.2013, 22:53
  #13
stomatolog
 
Аватар для stomatolog
Регистрация: 27.12.2011
Сообщений: 1,059

О том и речь, что пока атакующий будет долбить админку своим пулом проксей, владелец сайта будет сосать всю неделю и не сможет зайти.

Именно по этой причине все нормальные люди используют капчу после неудачной попытки, а не говнозащиту с блокировкой, как на ДЛЕ.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 03.08.2013, 23:37
  #14
miraida
 
Аватар для miraida
Регистрация: 11.02.2012
Сообщений: 2,241

Говнозащита на вашем вордпрессе и джумле - о чем собственно вам в начале топика и сообщили.

Я не хочу с вами спорить - движок дле вы знаете поверхностно и являетесь приверженцем вордпресса, который я наоборот считаю полнейшим фуфлом и прошлым веком.

Щас глянул как сейчас на 10 это реализовано:

Максимальное количество ошибочных авторизаций:
Укажите максимальное количество ошибочных вводов пароля на сайте, после превышения данного лимита, для IP пользователя будет установлена автоматическая блокировка на 20 минут. Данная мера позволяет предотвратить подбор паролей злоумышленниками к аккаунтам пользователей. Если вы не хотите устанавливать данное ограничение, то оставьте поле пустым. (я ставлю 2)

Так же для пользователя есть настройка - где можно указать свой ип адрес(или несколько) и после этого вход с любого другого ип будет блокирован.

Так же движок позволяет менять адрес админки.

Так же сложность паролей никто не отменял - если админ балбес с паролем 12345 или использует свой пароль и на других ресах - то сковырнут в два счета.
У меня пасы в 25 знаков и на других ресах я их никогда не использую.

Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 03.08.2013, 23:59
  #15
stomatolog
 
Аватар для stomatolog
Регистрация: 27.12.2011
Сообщений: 1,059

Сообщение от miraida Посмотреть сообщение
Говнозащита на вашем вордпрессе и джумле - о чем собственно вам в начале топика и сообщили.

Я не хочу с вами спорить - движок дле вы знаете поверхностно и являетесь приверженцем вордпресса, который я наоборот считаю полнейшим фуфлом и прошлым веком.
Я не являюсь приверженцем ни вордпресса, ни джумлы. Меня интересует только технология грамотной защиты. А вордпресс и джумлу я даже и не рассматриваю вовсе, потому что там вообще никакой защиты нет.


Сообщение от miraida Посмотреть сообщение
Щас глянул как сейчас на 10 это реализовано:

Максимальное количество ошибочных авторизаций:
Укажите максимальное количество ошибочных вводов пароля на сайте, после превышения данного лимита, для IP пользователя будет установлена автоматическая блокировка на 20 минут.
Вот за это большое спасибо

Именно эта информация мне и была нужна изначально. Там блокировка идёт как раз по IP, а не по логину. В таком случае никаких проблем для владельца сайта не будет. Про сложность паролей и изменение адреса админки - это само собой разумеется, здесь я полностью согласен.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 04.08.2013, 00:00
  #16
valsof
 
Регистрация: 26.02.2012
Сообщений: 423

Брутом никто никогда не ломает - это идиотизм полный. А уязвимости пофиг какой у вас пароль, хоть на китайском.

По поводу защиты, кто вам самому мешает ее поставить на wp? Дело пяти минут... Если в сам двиг впаяны эти мелочи, то это вовсе не делает его безупречным или более защищеным. Все это защита от дурака.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 04.08.2013, 01:39
  #17
SDKiller
 
Регистрация: 04.08.2013
Сообщений: 2

Сообщение от miraida Посмотреть сообщение
Подтверждаю - атака идет и на другие хостинги.

Длехи не брутят - это бесполезно. Там защита от подбора, 3-5 раз набрал неправильно и гудбай. Гуляй час или больше.
Ломают вордпресс и джумлу.
Для тех кто в танке




Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 04.08.2013, 01:40
  #18
SDKiller
 
Регистрация: 04.08.2013
Сообщений: 2

Кстати по логам post-запросов как раз брут по словарю + проверка на ленивость (типа 12345, qwerty и т.п.)
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 04.08.2013, 11:28
  #19
Growman
 
Аватар для Growman
Регистрация: 15.04.2011
Сообщений: 269

На wordpress'е есть плагин Login LockDown, ограничивающий количество попыток неправильно ввести пароль к админе.

Плагин фиксирует точное время и IP-адрес, с которого была сделана неудачная попытка входа в админку блога. Когда за определенный период времени будет совершено некоторое количество неудачных попыток, плагин блокирует доступ к сайту на заданное время. Выводится сообщение:
“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.

Настройки плагина.

1. Max Login Retries – максимальное количество попыток для входа в админ панель блога. Думаю, больше трех ставить не имеет смысла.
2. Retry Time Period Restriction (minutes) – период времени в минутах для повторной попытки. Пять минут хватит даже для того, чтобы добежать до канадской границы, не то чтобы ввести пароль.
3. Lockout Length (minutes) – время в минутах, на которое блокируется доступ к админке Вордпресс. Можно оставить 60 минут, а можно установить и побольше.
4. Lockout Invalid Usernames – учитывать ли неправильный ввод логина? Отмечаем этот пункт и плагин, кроме пароля, будет учитывать и неправильно написанное имя.
5. Mask Login Errors – маскировка ошибок ввода неправильных данных. Отмечаем, и тогда взломщик не будет знать, что его действия под контролем.
6. Currently Locked Out – здесь отображается список, заблокированных в данное время IP-адресов и время до разблокировки.





После всех настроек сохранитесь. Теперь при входе в админку, вы будете видеть в самом низу надпись – Login form protected by Login LockDown.

Но в этом случае теряется смысл пункта 5, ведь злоумышленник будет предупрежден о защите заранее. Давайте уберем эту надпись.

Идем в меню “Плагины” – “Редактор“. Выбираем из выпадающего списка справа вверху наш плагин безопасности и нажимаем “Выбрать“. Находим в файле login-lockdown/loginlockdown.php эту строку (смотрите картинку ниже) и удаляем все, что указано между кавычками. Нажимаем “Обновить файл” и переходим на страницу входа. Надпись должна исчезнуть.




Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 04.08.2013, 13:53
  #20
P1otr
 
Регистрация: 12.09.2012
Сообщений: 1,550

Главное что задача будет достигнута - зайти нельзя, а предупрежден человек или нет наверное уже без разницы. К тому же все равно программа которая будет перебирать пароли читать не умеет ))
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием

Ответ
 
 

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Темы по продаже паролей/аккаунтов/сайтов/доменов Admin О форуме 1 24.10.2013 03:15
Настройка сайта на joomla 2.5 patriot Вопросы 20 03.08.2013 23:49
Как установить слайдер на joomla Domkrat Статьи 0 21.07.2013 23:56
Заказ паролей на платные порносайты vvc11 Рынок 59 13.04.2013 11:41
Joomla + seo и способы монетизации. Poliart Статьи 7 12.03.2012 23:54

Метки
bruteforce, dle, joomla, wordpress


Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
 
Опции темы

Быстрый переход


Текущее время: 04:22. Часовой пояс GMT +3.