Grav-plugin-admin: Halaman login rentan terhadap serangan brute force
Panel admin rentan terhadap serangan brute force. Halaman login (/ admin) mengembalikan kode jika pengguna ada dan kode lain jika pengguna tidak ada dan tidak ada penghalang yang menghentikan sistem otomatis untuk mencoba ini. Saya tidak begitu menikmati ide ini, tetapi saya pikir cara termudah untuk segera memperbaikinya adalah dengan memasukkan Captcha. Alternatif lain (tidak yakin seberapa efektif) dapat membatasi jumlah upaya dari IP yang sama per hari.
Halaman lupa kata sandi juga rentan... Ketika Anda mencoba dan meminta tautan kata sandi yang terlupakan, sistem akan mengkonfirmasi apakah email tersebut terdaftar atau tidak. Saya menyarankan untuk mengubahnya menjadi pesan yang lebih umum seperti "Jika ini adalah email terdaftar, tautan pemulihan telah dikirim ke sana. Jika Anda tidak menerima tautannya, hubungi administrator situs Anda" atau semacamnya. .. tapi saya tidak yakin apakah itu cukup. Mungkin seseorang dengan lebih banyak keahlian mungkin ingin melihat ini.
rsip22
Semua 14 komentar
Saya hanya akan menggunakan satu pesan kesalahan yang menyatakan sesuatu seperti: Incorrect username or password. Perubahan tersebut (termasuk perubahan string kata sandi yang terlupakan) akan membuat tidak mungkin menebak nama pengguna di salah satu formulir.
Saya tidak akan membatasi akses dengan IP, tetapi menambahkan captcha sebagai opsi bukanlah ide yang buruk.
mahagr
pada 3 Nov 2016
Saya tidak terlalu suka opsi captcha, tetapi jika harus ditambahkan, dapatkah setidaknya kita mengaktifkannya hanya setelah beberapa upaya gagal (seperti 3, atau sesuatu)?
rsip22
pada 5 Nov 2016
Penundaan antara upaya masuk - sebaiknya meningkat, mungkin secara eksponensial, dengan setiap upaya hingga batas tertentu - secara efektif memblokir serangan brute force. Penundaan dan batas dapat ditetapkan sebagai parameter.
billhemsley
pada 8 Nov 2016
Fungsionalitas lupa kata sandi telah dimodifikasi dalam versi beta dari plugin login. Hanya membutuhkan alamat email sekarang.
rhukster
pada 12 Nov 2016
Juga, diedit untuk mencetak pesan yang sama apakah email itu ada atau tidak, di https://github.com/getgrav/grav-plugin-login/commit/3e7c20fd66639123cfb2894d9298d4ccfb861af9
flaviocopes
pada 15 Nov 2016
Mencatat upaya yang gagal akan menyenangkan juga untuk fail2ban dll :)
Mahagon
pada 6 Mei 2017
Bagaimana dengan cara membatasi jumlah percobaan login yang salah dalam jangka waktu tertentu?
tech4him1
pada 6 Jul 2017
Plugin Login sekarang memiliki bagian keamanan dalam konfigurasinya untuk mengontrol bahwa: https://github.com/getgrav/grav-plugin-login/commit/590f188189c8453afb5992e7ec385795336ee711
flaviocopes
pada 6 Jul 2017
Akan tetap menyenangkan bahkan memiliki OPSI untuk captcha. Juga, perlindungan banjir tampaknya tidak berfungsi sama sekali.
Grav tidak pernah menghentikan Anda memasukkan kata sandi lagi, bahkan dengan fitur keamanan diaktifkan. Juga tidak memperpanjang waktu antara mencoba login.
Apakah saya melakukan sesuatu yang salah atau plugin hanya rusak?
Neicul
pada 24 Jul 2017
Sebenarnya proteksi brute force plugin Login tidak berlaku untuk Admin (saya salah menulis sebaliknya sampai disini). Di Admin, Anda memiliki opsi untuk menambahkan perlindungan tingkat server web (misalnya htaccess/htpasswd di Apache) dan juga dibatasi oleh rentang IP, hingga fitur ini juga tersedia di Admin.
flaviocopes
pada 24 Jul 2017
Saya melihat. Ya saya kira itu adalah hal yang masuk akal untuk dilakukan sampai saat itu.
Saat ini, ini tampak seperti kelemahan keamanan yang mencolok, jika pengguna tidak mendapatkan setidaknya peringatan bahwa mereka harus mengamankan halaman Admin.
Juga, seperti yang sudah disarankan: peringatan untuk upaya login yang gagal di dasbor akan sangat bagus.
Berharap untuk update tentang ini segera :)
EDIT: solusi .htaccess cukup banyak membunuh semua css di halaman admin. Yang kurang lebih membuatnya tidak dapat digunakan.
Neicul
pada 24 Jul 2017
Saat ini, hal terbaik yang dapat Anda lakukan untuk keamanan Admin yang lebih baik adalah menyembunyikan halaman admin dengan mengganti namanya, seperti:
https://learn.getgrav.org/admin-panel/faq#custom -admin-url
Saya sangat berharap perlindungan login untuk admin segera hadir, karena ini mencegah saya menggunakannya di situs perusahaan.
Neicul
pada 26 Jul 2017
Sebenarnya proteksi brute force plugin Login tidak berlaku untuk Admin (saya salah menulis sebaliknya sampai disini). Di Admin, Anda memiliki opsi untuk menambahkan perlindungan tingkat server web (misalnya htaccess/htpasswd di Apache) dan juga dibatasi oleh rentang IP, hingga fitur ini juga tersedia di Admin.
Perlindungan brute force tampaknya berfungsi di halaman login admin saya. Itu juga ada di dokumen . Apakah komentar ini sudah ketinggalan zaman atau saya salah paham?
Adakah yang tahu cara membuat Grav bekerja dengan fail2ban?
diegovogel
pada 22 Mar 2019
Solusi alternatif saya hanya berfungsi jika Anda memiliki akses FTP ke semua server/hosting Anda.
Anda dapat mengedit .htaccess untuk hanya mengizinkan alamat IP spesifik Anda untuk membaca folder /admin/. IP lain (dan bot berikutnya) tidak akan dapat memuat konten folder apa pun.
Saya dulu menggunakan metode ini untuk melarang semua, tetapi alamat IP saya sendiri... untuk memeriksa apakah situs web build berfungsi, sebelum meluncurkannya. Ini terjadi sebelum Anda dapat menjalankan server web lokal. Mungkin ini masih berfungsi untuk beberapa pengguna yang takut dan menginginkan kontrol total hanya dari IP mereka.
MakePixelsWork
pada 4 Des 2019
Masalah terkait
maciejmatu
·
3Komentar
wildafrica
·
4Komentar
ritchiedalto
·
6Komentar
simonlayfield
·
3Komentar
Genenenenaam
·
5Komentar
Komentar yang paling membantu
Penundaan antara upaya masuk - sebaiknya meningkat, mungkin secara eksponensial, dengan setiap upaya hingga batas tertentu - secara efektif memblokir serangan brute force. Penundaan dan batas dapat ditetapkan sebagai parameter.