Расширить безопасность

20

Мне и раньше не хватало некоторых вещей в плане безопасности скрипта, а после того как на одном из сайтов был взлом и по логам сервера не все получилось вычислить считаю необходимым реализовать пару моментов, позволяющих улучшить безопасность или дальнейшие разборки:

1) добавить двухфакторную авторизацию в админке

2) в настройках доступов в админку не хватает пункта "уведомить на емайл об успешном/неуспешном входе под данным логином"

3) добавить в таблицу wa_login_log колонку с ip-адресом

4) добавлять информацию об успешном-неуспешном логине в админку в лог auth.log

Этот лог вроде бы и существует, но в него ничего не пишется.

12 комментариев

  • +1
    Марк Марк Эксперт 20 сентября 2017 23:47 #

    А узкое место удалось вычислить? Если да - то в открытом доступе не публикуй лучше.

    • +1
      Shaman Shaman Разработчик 20 сентября 2017 23:53 #

      На некоторые вопросы мне разработчики еще не ответили. Но в процессе анализа логов сервера я просто не смог сопоставить даже вход в админку (это видно в логах сервера) и кто же именно в это время в нее входил, так как такого лога просто нет. Что и побудило меня написать этот пост.

      Незабываем что скриптом пользуются не только мелкие магазины, а и поболее, а тут элементарное отсутствие простых вещей

      • +1
        Genasyst Genasyst 21 сентября 2017 00:06 #

        ОЙ! Ну наверно простой пароль поставили.... Вирус на чьем-то компе... и тд


        https://github.com/webasyst/webasyst-framework/pul...

        • +1
          Shaman Shaman Разработчик 21 сентября 2017 00:08 #

          простой пароль? возможно, но явно не у человека, имеющего доступ к чему-либо от файл-менеджера/консоли до полной админки

          • +1
            Genasyst Genasyst 21 сентября 2017 00:16 #

            пффффф

          • +2
            Shaman Shaman Разработчик 21 сентября 2017 00:17 #

            Ты меня навел на мысль что в идеале еще бы в мой перечень добавить пункт "запретить простые пароли", но понимаю что это маловероятно

          • +1
            Shaman Shaman Разработчик 20 сентября 2017 23:56 #

            А почему у меня 403 ошибка на редактирование собственной же темы?

            ну ладно, напишу, точнее добавлю, тут: если бы в auth.log была необходимая информация об успешных и главное неуспешных логинах, на сервере можно было бы без особых проблем и проще настроить тот же fail2ban

          • +1
            creativit.ru creativit.ru Эксперт Разработчик 21 сентября 2017 09:28 #

            Хочу сказать, что сейчас на проверке находится плагин для приложения "Метрика", как раз который отслеживает все попытки авторизации.

            Брутфорс (происходит от английского словосочетания: brute force) — разновидность хакерской атаки — способ взлома учётных записей в компьютерных системах, платёжных/банковских сервисах и на веб-сайтах посредством автоматизированного подбора комбинаций паролей и логинов.

            Брутфорс базируется на одноимённом математическом методе (brute force), в котором правильное решение — конечное число или символьная комбинация находится посредством перебора различных вариантов. Фактически каждое значение из заданного множества потенциальных ответов (решений) проверяется на правильность.

            Плагин решает проблему подбора паролей на вашем сайте:
            - вы можете включить уведомление пользователя о всех или только ошибочных попытках ввода логина и пароля;
            - вы можете включить уведомление администратора о превышении лимита ошибочных попыток авторизации;
            - вы можете включить добавление IP пользователя в стоп-лист приложения "Метрика" при превышении лимита ошибочных попыток авторизации;
            - лимиты настраиваются отдельно на попытки авторизации по конкретному логину/email и на общее число ошибочных попыток с одного IP.

            Внимание! Защита формы авторизации в административную часть реализуется только при возможности добавления в файл .htaccess директивы php_value auto_prepend_file - полный код вы получите на странице настройки плагина. Либо если вы можете её настроить в файле php.ini. К сожалению, в облаке Webasyst такие манипуляции невозможны.


            • +1
              Shaman Shaman Разработчик 21 сентября 2017 10:03 #

              В моем случае например не вариант, так как Яндекс в Украине например под запретом.

              Да и не должны такие вопросы решаться плагинами, имно

              • +1
                creativit.ru creativit.ru Эксперт Разработчик 21 сентября 2017 10:12 #

                Причем тут Яндекс я не понял. Но если не плагинами, то ждите три года, понятно, что ваше время, которое вы тратите на выяснение оно то вроде бы бесплатное. )))

                Добавление новых комментариев к этой теме отключено.