Grav-plugin-admin: 登录页面易受暴力攻击

我只会使用一条错误消息，说明如下内容： Incorrect username or password.这些更改（包括忘记的密码字符串更改）将无法猜测任何一种形式的用户名。

我不会限制 IP 的访问，但添加验证码作为选项并不是一个坏主意。

我不太喜欢验证码选项，但如果必须添加它，至少我们可以在几次失败尝试（如 3 次或其他什么）后激活它吗？

登录尝试之间的延迟 - 最好是增加，也许是指数级，每次尝试达到一定的限制 - 有效地阻止暴力攻击。 延迟和限制可以设置为参数。

在登录插件的测试版中修改了忘记密码功能。 现在只需要电子邮件地址。

此外，在https://github.com/getgrav/grav-plugin-login/commit/3e7c20fd66639123cfb2894d9298d4ccfb861af9中编辑以打印相同的消息，无论电子邮件是否存在

记录失败的尝试对于fail2ban等也很好:)

在特定时间段内限制错误登录尝试次数的方法怎么样？

登录插件现在在其配置中有一个安全部分来控制： https ://github.com/getgrav/grav-plugin-login/commit/590f188189c8453afb5992e7ec385795336ee711

即使有验证码的选项仍然会很好。 此外，防洪似乎根本不起作用。
Grav 永远不会阻止您输入更多密码，即使启用了安全功能。 它也不会延长登录尝试之间的时间。

我做错了什么还是插件坏了？

实际上，登录插件蛮力保护不适用于管理员（我在这里写相反的东西很糟糕）。 在 Admin 中，您可以选择添加 webserver 级别的保护（例如 Apache 中的 htaccess/htpasswd），还可以通过 IP 范围进行限制，直到此功能也登陆 Admin。

我知道了。 是的，我想在那之前这是明智的做法。
目前，这似乎是一个明显的安全漏洞，如果用户至少没有收到他们应该保护管理页面的警告。

此外，正如已经建议的那样：仪表板中登录尝试失败的警告会非常好。

希望尽快对此进行更新:)

编辑： .htaccess 解决方案几乎杀死了管理页面上的所有 css。 这或多或少使它无法使用。

目前，为了更好的管理安全性，您可以做的最好的事情是通过重命名来隐藏管理页面，如下所示：
https://learn.getgrav.org/admin-panel/faq#custom -admin-url
我真的希望管理员的登录保护很快就会出现，因为这会阻止我在公司网站上使用它。

实际上，登录插件蛮力保护不适用于管理员（我在这里写相反的东西很糟糕）。 在 Admin 中，您可以选择添加 webserver 级别的保护（例如 Apache 中的 htaccess/htpasswd），还可以通过 IP 范围进行限制，直到此功能也登陆 Admin。

蛮力保护似乎正在我的管理员登录页面上工作。 它也在docs中。 这个评论是过时的还是我误解了？

还有谁知道如何让 Grav 与 fail2ban 一起工作？

我的替代解决方案仅在您对所有服务器/主机具有 FTP 访问权限时才有效。

您可以编辑 .htaccess 以仅允许您的特定 IP 地址读取 /admin/ 文件夹。 任何其他 IP（和后续机器人）将无法加载任何文件夹内容。

我曾经使用这种方法禁止所有，但我自己的 IP 地址...在启动之前检查构建网站是否正常工作。 这是在您可以运行本地网络服务器之前。 也许这仍然适用于那些害怕并希望完全控制他们的 IP 的少数用户。