еще одна уязвимость WordPress

точнее, комбинация уязвимостей:

  • если в окне логина вводить неверный пароль, сообщение будет не таким, как если вводить неверный логин и пароль - что хоть и несущественно, но облегчает задачу для следующего:

  • WordPress абсолютно не устойчив против атак подбором пароля (Brute Force)
  • и имеет достаочно слабое шифрование паролей.

Так, при использовании Brute Force со скоростью 10 попыток в секунду, наихудшим (для взломщика) результатом будет чуть больше 19 дней.
Возможные варианты решений: закрывать вход дополнительно с помощью captcha и ограничением на скорость попыток ввода пароля.
Мое собственное решение: закрыть wp-admin с помошью .htaccess
Источник

Оставить комментарий - Feel free to ask me in English

Он появится после того, как будет одобрен. - All comments are pre-moderated.

Внимание! Пожалуйста, не пишите в комментарии [url=... или [url]... - это будет считаться спамом. Если хотите дать ссылку - пишите просто адрес, до 2х на один коммент.
Attention! Please don't use "[url=..." or "[url]..." in comment's body or it will be deleted as spam
If you want to send me a link just type url, up to 2 urls in one comment.

Спасибо за отзыв! Thank you for a comment!