Расширить безопасность

20

Мне и раньше не хватало некоторых вещей в плане безопасности скрипта, а после того как на одном из сайтов был взлом и по логам сервера не все получилось вычислить считаю необходимым реализовать пару моментов, позволяющих улучшить безопасность или дальнейшие разборки:

1) добавить двухфакторную авторизацию в админке

2) в настройках доступов в админку не хватает пункта "уведомить на емайл об успешном/неуспешном входе под данным логином"

3) добавить в таблицу wa_login_log колонку с ip-адресом

4) добавлять информацию об успешном-неуспешном логине в админку в лог auth.log

Этот лог вроде бы и существует, но в него ничего не пишется.

12 комментариев

  • +1
    Марк Марк Партнер-эксперт 20 сентября 2017 23:47 #

    А узкое место удалось вычислить? Если да - то в открытом доступе не публикуй лучше.

    • +1
      Shaman Shaman Партнер-разработчик 20 сентября 2017 23:53 #

      На некоторые вопросы мне разработчики еще не ответили. Но в процессе анализа логов сервера я просто не смог сопоставить даже вход в админку (это видно в логах сервера) и кто же именно в это время в нее входил, так как такого лога просто нет. Что и побудило меня написать этот пост.

      Незабываем что скриптом пользуются не только мелкие магазины, а и поболее, а тут элементарное отсутствие простых вещей

    • +1
      Shaman Shaman Партнер-разработчик 20 сентября 2017 23:56 #

      А почему у меня 403 ошибка на редактирование собственной же темы?

      ну ладно, напишу, точнее добавлю, тут: если бы в auth.log была необходимая информация об успешных и главное неуспешных логинах, на сервере можно было бы без особых проблем и проще настроить тот же fail2ban

    • +1

      Хочу сказать, что сейчас на проверке находится плагин для приложения "Метрика", как раз который отслеживает все попытки авторизации.

      Брутфорс (происходит от английского словосочетания: brute force) — разновидность хакерской атаки — способ взлома учётных записей в компьютерных системах, платёжных/банковских сервисах и на веб-сайтах посредством автоматизированного подбора комбинаций паролей и логинов.

      Брутфорс базируется на одноимённом математическом методе (brute force), в котором правильное решение — конечное число или символьная комбинация находится посредством перебора различных вариантов. Фактически каждое значение из заданного множества потенциальных ответов (решений) проверяется на правильность.

      Плагин решает проблему подбора паролей на вашем сайте:
      - вы можете включить уведомление пользователя о всех или только ошибочных попытках ввода логина и пароля;
      - вы можете включить уведомление администратора о превышении лимита ошибочных попыток авторизации;
      - вы можете включить добавление IP пользователя в стоп-лист приложения "Метрика" при превышении лимита ошибочных попыток авторизации;
      - лимиты настраиваются отдельно на попытки авторизации по конкретному логину/email и на общее число ошибочных попыток с одного IP.

      Внимание! Защита формы авторизации в административную часть реализуется только при возможности добавления в файл .htaccess директивы php_value auto_prepend_file - полный код вы получите на странице настройки плагина. Либо если вы можете её настроить в файле php.ini. К сожалению, в облаке Webasyst такие манипуляции невозможны.


      Добавить комментарий

      Чтобы добавить комментарий, зарегистрируйтесь или войдите