|
Брутфорс паролей админок WordPress, DLE и Joomla
|
|
03.08.2013, 21:20
|
|
#11
|
Регистрация: 27.12.2011
Сообщений: 1,059
|
Ну вот так я и думал. Говнозащита это, в общем. Имея достаточный пул проксей атакующий может элементарно парализовать работу данного логина. Надо не блокировать этот логин, а капчу врубать. Человек введёт, а бот нет.
|
|
|
03.08.2013, 22:38
|
|
#12
|
Регистрация: 11.02.2012
Сообщений: 2,241
|
Человек введет правильный пас и войдет с первого раза.
Все остальное должно блокироваться и именно по времени, чтобы исключить любой брутфорс. Капча мнимая защита.
|
|
|
03.08.2013, 22:53
|
|
#13
|
Регистрация: 27.12.2011
Сообщений: 1,059
|
О том и речь, что пока атакующий будет долбить админку своим пулом проксей, владелец сайта будет сосать всю неделю и не сможет зайти.
Именно по этой причине все нормальные люди используют капчу после неудачной попытки, а не говнозащиту с блокировкой, как на ДЛЕ.
|
|
|
03.08.2013, 23:37
|
|
#14
|
Регистрация: 11.02.2012
Сообщений: 2,241
|
Говнозащита на вашем вордпрессе и джумле - о чем собственно вам в начале топика и сообщили.
Я не хочу с вами спорить - движок дле вы знаете поверхностно и являетесь приверженцем вордпресса, который я наоборот считаю полнейшим фуфлом и прошлым веком.
Щас глянул как сейчас на 10 это реализовано:
Максимальное количество ошибочных авторизаций:
Укажите максимальное количество ошибочных вводов пароля на сайте, после превышения данного лимита, для IP пользователя будет установлена автоматическая блокировка на 20 минут. Данная мера позволяет предотвратить подбор паролей злоумышленниками к аккаунтам пользователей. Если вы не хотите устанавливать данное ограничение, то оставьте поле пустым. (я ставлю 2)
Так же для пользователя есть настройка - где можно указать свой ип адрес(или несколько) и после этого вход с любого другого ип будет блокирован.
Так же движок позволяет менять адрес админки.
Так же сложность паролей никто не отменял - если админ балбес с паролем 12345 или использует свой пароль и на других ресах - то сковырнут в два счета.
У меня пасы в 25 знаков и на других ресах я их никогда не использую.
|
|
|
03.08.2013, 23:59
|
|
#15
|
Регистрация: 27.12.2011
Сообщений: 1,059
|
Сообщение от miraida
Говнозащита на вашем вордпрессе и джумле - о чем собственно вам в начале топика и сообщили.
Я не хочу с вами спорить - движок дле вы знаете поверхностно и являетесь приверженцем вордпресса, который я наоборот считаю полнейшим фуфлом и прошлым веком.
| Я не являюсь приверженцем ни вордпресса, ни джумлы. Меня интересует только технология грамотной защиты. А вордпресс и джумлу я даже и не рассматриваю вовсе, потому что там вообще никакой защиты нет.
Сообщение от miraida
Щас глянул как сейчас на 10 это реализовано:
Максимальное количество ошибочных авторизаций:
Укажите максимальное количество ошибочных вводов пароля на сайте, после превышения данного лимита, для IP пользователя будет установлена автоматическая блокировка на 20 минут.
| Вот за это большое спасибо
Именно эта информация мне и была нужна изначально. Там блокировка идёт как раз по IP, а не по логину. В таком случае никаких проблем для владельца сайта не будет. Про сложность паролей и изменение адреса админки - это само собой разумеется, здесь я полностью согласен.
|
|
|
04.08.2013, 00:00
|
|
#16
|
Регистрация: 26.02.2012
Сообщений: 423
|
Брутом никто никогда не ломает - это идиотизм полный. А уязвимости пофиг какой у вас пароль, хоть на китайском.
По поводу защиты, кто вам самому мешает ее поставить на wp? Дело пяти минут... Если в сам двиг впаяны эти мелочи, то это вовсе не делает его безупречным или более защищеным. Все это защита от дурака.
|
|
|
04.08.2013, 01:39
|
|
#17
|
Регистрация: 04.08.2013
Сообщений: 2
|
Сообщение от miraida
Подтверждаю - атака идет и на другие хостинги.
Длехи не брутят - это бесполезно. Там защита от подбора, 3-5 раз набрал неправильно и гудбай. Гуляй час или больше.
Ломают вордпресс и джумлу.
| Для тех кто в танке
|
|
|
04.08.2013, 01:40
|
|
#18
|
Регистрация: 04.08.2013
Сообщений: 2
|
Кстати по логам post-запросов как раз брут по словарю + проверка на ленивость (типа 12345, qwerty и т.п.)
|
|
|
04.08.2013, 11:28
|
|
#19
|
Регистрация: 15.04.2011
Сообщений: 269
|
На wordpress'е есть плагин Login LockDown, ограничивающий количество попыток неправильно ввести пароль к админе.
Плагин фиксирует точное время и IP-адрес, с которого была сделана неудачная попытка входа в админку блога. Когда за определенный период времени будет совершено некоторое количество неудачных попыток, плагин блокирует доступ к сайту на заданное время. Выводится сообщение:
“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.
Настройки плагина.
1. Max Login Retries – максимальное количество попыток для входа в админ панель блога. Думаю, больше трех ставить не имеет смысла.
2. Retry Time Period Restriction (minutes) – период времени в минутах для повторной попытки. Пять минут хватит даже для того, чтобы добежать до канадской границы, не то чтобы ввести пароль.
3. Lockout Length (minutes) – время в минутах, на которое блокируется доступ к админке Вордпресс. Можно оставить 60 минут, а можно установить и побольше.
4. Lockout Invalid Usernames – учитывать ли неправильный ввод логина? Отмечаем этот пункт и плагин, кроме пароля, будет учитывать и неправильно написанное имя.
5. Mask Login Errors – маскировка ошибок ввода неправильных данных. Отмечаем, и тогда взломщик не будет знать, что его действия под контролем.
6. Currently Locked Out – здесь отображается список, заблокированных в данное время IP-адресов и время до разблокировки.
После всех настроек сохранитесь. Теперь при входе в админку, вы будете видеть в самом низу надпись – Login form protected by Login LockDown.
Но в этом случае теряется смысл пункта 5, ведь злоумышленник будет предупрежден о защите заранее. Давайте уберем эту надпись.
Идем в меню “Плагины” – “Редактор“. Выбираем из выпадающего списка справа вверху наш плагин безопасности и нажимаем “Выбрать“. Находим в файле login-lockdown/loginlockdown.php эту строку (смотрите картинку ниже) и удаляем все, что указано между кавычками. Нажимаем “Обновить файл” и переходим на страницу входа. Надпись должна исчезнуть.
|
|
|
04.08.2013, 13:53
|
|
#20
|
Регистрация: 12.09.2012
Сообщений: 1,550
|
Главное что задача будет достигнута - зайти нельзя, а предупрежден человек или нет наверное уже без разницы. К тому же все равно программа которая будет перебирать пароли читать не умеет ))
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
|
|
|