» еще одна уязвимость WordPress

еще одна уязвимость WordPress

точнее, комбинация уязвимостей:

если в окне логина вводить неверный пароль, сообщение будет не таким, как если вводить неверный логин и пароль - что хоть и несущественно, но облегчает задачу для следующего:
WordPress абсолютно не устойчив против атак подбором пароля (Brute Force)
и имеет достаочно слабое шифрование паролей.

Так, при использовании Brute Force со скоростью 10 попыток в секунду, наихудшим (для взломщика) результатом будет чуть больше 19 дней.
Возможные варианты решений: закрывать вход дополнительно с помощью captcha и ограничением на скорость попыток ввода пароля.
Мое собственное решение: закрыть wp-admin с помошью .htaccess
Источник

Friday, April 25th, 2008 8:45. Категория Web. Комментарии к этой записи через RSS 2.0. You can skip to the end and leave a response. Pinging is currently not allowed.

Оставить комментарий - Feel free to ask me in English

Он появится после того, как будет одобрен. - All comments are pre-moderated.

Имя / Name

E-mail (НЕ публикуется / NOT visible to others)

Web-сайт

Подписаться на комментарии / subscribe to comments
(поле E-mail должно быть заполнено / e-mail must be fill in)

Внимание! Пожалуйста, не пишите в комментарии [url=... или [url]... - это будет считаться спамом. Если хотите дать ссылку - пишите просто адрес, до 2х на один коммент.
Attention! Please don't use "[url=..." or "[url]..." in comment's body or it will be deleted as spam If you want to send me a link just type url, up to 2 urls in one comment.

Спасибо за отзыв! Thank you for a comment!

посчитай-ка: 4 плюс 5 минус 9

Просто Путник

еще одна уязвимость WordPress

Оставить комментарий - Feel free to ask me in English