Расширить безопасность

20

Мне и раньше не хватало некоторых вещей в плане безопасности скрипта, а после того как на одном из сайтов был взлом и по логам сервера не все получилось вычислить считаю необходимым реализовать пару моментов, позволяющих улучшить безопасность или дальнейшие разборки:

1) добавить двухфакторную авторизацию в админке

2) в настройках доступов в админку не хватает пункта "уведомить на емайл об успешном/неуспешном входе под данным логином"

3) добавить в таблицу wa_login_log колонку с ip-адресом

4) добавлять информацию об успешном-неуспешном логине в админку в лог auth.log

Этот лог вроде бы и существует, но в него ничего не пишется.

12 комментариев

  • +1
    Марк Марк Партнер-эксперт 20 сентября 2017 23:47 #

    А узкое место удалось вычислить? Если да - то в открытом доступе не публикуй лучше.

  • +1
    Shaman Shaman Партнер-разработчик 20 сентября 2017 23:56 #

    А почему у меня 403 ошибка на редактирование собственной же темы?

    ну ладно, напишу, точнее добавлю, тут: если бы в auth.log была необходимая информация об успешных и главное неуспешных логинах, на сервере можно было бы без особых проблем и проще настроить тот же fail2ban

  • +1

    Хочу сказать, что сейчас на проверке находится плагин для приложения "Метрика", как раз который отслеживает все попытки авторизации.

    Брутфорс (происходит от английского словосочетания: brute force) — разновидность хакерской атаки — способ взлома учётных записей в компьютерных системах, платёжных/банковских сервисах и на веб-сайтах посредством автоматизированного подбора комбинаций паролей и логинов.

    Брутфорс базируется на одноимённом математическом методе (brute force), в котором правильное решение — конечное число или символьная комбинация находится посредством перебора различных вариантов. Фактически каждое значение из заданного множества потенциальных ответов (решений) проверяется на правильность.

    Плагин решает проблему подбора паролей на вашем сайте:
    - вы можете включить уведомление пользователя о всех или только ошибочных попытках ввода логина и пароля;
    - вы можете включить уведомление администратора о превышении лимита ошибочных попыток авторизации;
    - вы можете включить добавление IP пользователя в стоп-лист приложения "Метрика" при превышении лимита ошибочных попыток авторизации;
    - лимиты настраиваются отдельно на попытки авторизации по конкретному логину/email и на общее число ошибочных попыток с одного IP.

    Внимание! Защита формы авторизации в административную часть реализуется только при возможности добавления в файл .htaccess директивы php_value auto_prepend_file - полный код вы получите на странице настройки плагина. Либо если вы можете её настроить в файле php.ini. К сожалению, в облаке Webasyst такие манипуляции невозможны.


    Добавить комментарий

    Чтобы добавить комментарий, зарегистрируйтесь или войдите