Добавить Google reCAPTCHA на страницу авторизации сайт/webasyst
В идеале она должна появляться после какого-то количества неправильных вводов, а не быть там всегда.
Совсем в идеале страница еще и блокироваться должна на несколько минут через хх ошибок.
Не знаю, почему разработчики сразу этого не сделали.
Постоянно общаюсь с клиентами, могу сказать, что требования к длинне и стойкости пароля практически никто не выполняет.
Логины также очень предсказуемые.
Сейчас страница авторизации для входа в админку сайта от брутфорса не защищена. Сама страница известна, мало кто меняет ее адрес (да и измененный найти, часто дело 2 минут).
3 комментария
На правах рекламы :)
Для тех, кто уже сейчас задумался о безопасности, есть возможность отслеживать и блокировать попытки подбора пароля с помощью плагина https://www.webasyst.ru/store/plugin/metrika/brute...
Смотрел этот плагин с самого начала. Остался вопрос:
Он с динамическим URL страницы авторизации будет нормально работать?
Попыткой авторизации считается передача через POST login и pass, соответственно, если сейчас эту страницу видит Метрика, то будет работать нормально. Можно принудительно на своей динамической странице вызывать счетчик Метрики через {if $wa->metrika}{$wa->metrika->getCounter()}{/if}. Если будет прописан в htaccess auto_prepend_file, то вообще любые запросы будут проверяться.
P.S. Да, включение плагина увеличивает нагрузку, как в принципе любой новый плагин. Но из-за того, что "слежка" ведется постоянно, то естетственно на приложении "Метрика" и на этом плагине это будет более заметно на слабых хостингах.