Мне и раньше не хватало некоторых вещей в плане безопасности скрипта, а после того как на одном из сайтов был взлом и по логам сервера не все получилось вычислить считаю необходимым реализовать пару моментов, позволяющих улучшить безопасность или дальнейшие разборки:
1) добавить двухфакторную авторизацию в админке
2) в настройках доступов в админку не хватает пункта "уведомить на емайл об успешном/неуспешном входе под данным логином"
3) добавить в таблицу wa_login_log колонку с ip-адресом
4) добавлять информацию об успешном-неуспешном логине в админку в лог auth.log
Этот лог вроде бы и существует, но в него ничего не пишется.
12 комментариев
А узкое место удалось вычислить? Если да - то в открытом доступе не публикуй лучше.
На некоторые вопросы мне разработчики еще не ответили. Но в процессе анализа логов сервера я просто не смог сопоставить даже вход в админку (это видно в логах сервера) и кто же именно в это время в нее входил, так как такого лога просто нет. Что и побудило меня написать этот пост.
Незабываем что скриптом пользуются не только мелкие магазины, а и поболее, а тут элементарное отсутствие простых вещей
ОЙ! Ну наверно простой пароль поставили.... Вирус на чьем-то компе... и тд
https://github.com/webasyst/webasyst-framework/pul...
простой пароль? возможно, но явно не у человека, имеющего доступ к чему-либо от файл-менеджера/консоли до полной админки
пффффф
Ты меня навел на мысль что в идеале еще бы в мой перечень добавить пункт "запретить простые пароли", но понимаю что это маловероятно
А почему у меня 403 ошибка на редактирование собственной же темы?
ну ладно, напишу, точнее добавлю, тут: если бы в auth.log была необходимая информация об успешных и главное неуспешных логинах, на сервере можно было бы без особых проблем и проще настроить тот же fail2ban
Хочу сказать, что сейчас на проверке находится плагин для приложения "Метрика", как раз который отслеживает все попытки авторизации.
Брутфорс (происходит от английского словосочетания: brute force) — разновидность хакерской атаки — способ взлома учётных записей в компьютерных системах, платёжных/банковских сервисах и на веб-сайтах посредством автоматизированного подбора комбинаций паролей и логинов.Брутфорс базируется на одноимённом математическом методе (brute force), в котором правильное решение — конечное число или символьная комбинация находится посредством перебора различных вариантов. Фактически каждое значение из заданного множества потенциальных ответов (решений) проверяется на правильность.
Плагин решает проблему подбора паролей на вашем сайте:
- вы можете включить уведомление пользователя о всех или только ошибочных попытках ввода логина и пароля;
- вы можете включить уведомление администратора о превышении лимита ошибочных попыток авторизации;
- вы можете включить добавление IP пользователя в стоп-лист приложения "Метрика" при превышении лимита ошибочных попыток авторизации;
- лимиты настраиваются отдельно на попытки авторизации по конкретному логину/email и на общее число ошибочных попыток с одного IP.
Внимание! Защита формы авторизации в административную часть реализуется только при возможности добавления в файл .htaccess директивы php_value auto_prepend_file - полный код вы получите на странице настройки плагина. Либо если вы можете её настроить в файле php.ini. К сожалению, в облаке Webasyst такие манипуляции невозможны.
В моем случае например не вариант, так как Яндекс в Украине например под запретом.
Да и не должны такие вопросы решаться плагинами, имно
Причем тут Яндекс я не понял. Но если не плагинами, то ждите три года, понятно, что ваше время, которое вы тратите на выяснение оно то вроде бы бесплатное. )))
Вы написали "плагин для приложения метрика"
совершенно, верно, для приложения "Метрика". https://www.webasyst.ru/store/app/metrika/
Про Яндекс я ни слова не говорил, хотя понимаю, что маркетологи Яндекса постарались хорошо.