Безопасность сайта

[domprim.ru 16]

Ковырялся с сайтом на Wordpress, спустя неделю обнаружил на сайте полсотни левых регистраций, судя по всему от спамеров и роботов. В основном с e-mail адресами от hotmail.com (У находящихся в Великобритании спам, мошенничество и рассылка троянов для получения доступа к личным данным и платежным реквизитам в порядке вещей)

 

Пару дней назад почтовый ящик, который был создан специально для нового сайта на CMS Sitebill, привязан к Яндекс.Почте и нигде, кроме как на новом сайте пока не афишировался, был забросан письмами с троянами. О чем меня уведомил Яндекс и заблокировал почту. О содержимом писем ничего не скажу - не открывал. Вроде левых регистраций на новом сайте тоже не нашел, однако всё это наводит на мысль:

 

1. Наверное имеет смысл добавить капчу на страницу авторизации, пока она только на странице регистрации а любимое мероприятие хакеров - подбирать пароли админа, еще никто не отменял и это направление не защищено.

 

2. Поскольку на графическую капчу существует антикапча и с этим она справляется на ура, может быть стоит сменить капчу на вариант "вопрос-ответ", такие например есть для Wordpress. Пользователю предлагается произвести арифметическое действие а результат он вносит в окно цифрами или наоборот - варианты устанавливает админ - один или несколько на выбор плагина. 

 

3. Отказывать на 10-30 мин. доступ в админку при 3-5 неудачных попытках подбора пароля или ввести вариант подтверждения через СМС и т.п.

поддерживаю давно пора, я в день с ящика по 30 писем удаляю!

[Chernetskiy 469]

Уважаемые гуру, подскажите как грамотнее организовать блокировку взломщиков в Sitebill ? В Вордпрессе вопрос решаем а вот в Sitebile боюсь накосячить.

Ситуация следующая: В целях безопасности никогда не регистрируюсь под именем "admin", поскольку хакеры и их мудренные программки как правило (в 99% случаев) подбирают доступ к сайту под именами admin, Admin, administrator и Administrator, соответственно требуется сделать так, чтобы при обращении к сайту с таким логином, IP пользователя автоматически блокировался например на сутки, желательно с оповещением администратора по почте (скинуть ему IP для дальнейших действий) ...

Да, и попутно решить бы вопрос соответствие имени администратора ID:1, по нему тоже пытаются подбирать-ломать и в Вордпрессе с Джумлой это тоже легко решаемо, а как быть с Sitebil'ом?

[abushyk 694]

решить бы вопрос соответствие имени администратора ID:1

 

Это уже вроде бы не актуальная проблема. Конкретно по ид=1, насколько я помню, нет вообще обращений. Т.е. просто сносим пользователя с ид=1 и создаем своего в группе админов. Ну и данные, которые висят на старом было бы не плохо не забыть перенести.

 

Относительно имени администратора вида "admin". Тоже не критично. Администратор может теперь иметь любое имя-логин. Бывают некоторые глюки, если использовать не admin, а что-то другое, но, большинство известных мне мест мы уже поправили. А если какие и остались, то поправим.

 

В целом: для администратора сайта важно быть только в группе Администраторов.

 

Есть только одно НО. Для некоторых аякс-операций и функций сообщений, как-то подача заявки, если на сайте несколько админов, самым "настоящим" будет считаться тот, который был добавлен первым. Самый яркий пример - невозможность сменить закладку расположения элемента формы в Редакторе форм прямо со списка элементов модели (даблкликом). Но войдя в редактирование элемента это уже возможно. Так же и с посылкой сообщений. При двух админах, сообщение уйдет первому из них. В некоторых модулях, которые не шибко популярны, либо не обновлены, сообщения могут перестать приходить, именно из-за ориентировки на имя админка в виде "admin".

[Chernetskiy 469]

Успокоил... Родина может спать спокойно! Она уже не боится... 

[XTRO 154]

Нам нечего стесняться, пишите сюда )

ну, а нам, тем более )))

 

Родина может спать спокойно! Она уже не боится... 

я б не расслаблялся

не помню, но что-то понадобилось в PMA, залез и вижу картину (см.аттач)

Это так, к вопросу о личке и xss

 

 

[abushyk 694]

Это автокомплит похоже. Завтра будет обновление.

 

ПС. И спасибо за ценную информацию.

[XTRO 154]

Это автокомплит похоже.

я с ним сейчас играюсь, работает как-то не так ...и в форме выдачи появились от юзеров дубли улиц, хотя при дефолтном городе не должны были появляться.

в uri и street_id и geoautocomplete, хотя зачем последнее не понял, имхо должно быть по принципу ||, а получается &&

(sorry, offtop)

[abushyk 694]

в uri и street_id и geoautocomplete, хотя зачем последнее не понял, имхо должно быть по принципу ||, а получается &&

 

И не получается. Внутри идет проверка, если есть street_id, то текстовое значение с автокомплита откинется. А уходят оба потому, что что бы отключить одно заполненное, надо вешать событие с фильтрацией на submit или кнопку отправки. А элемент не должен так далеко смотреть. Поэтому и уходят оба.

[XTRO 154]

Поэтому и уходят оба.

и получаем в выдаче 0 строк, хотя по отдельности записи есть.

имхо проверить наличие факта street_id достаточно, при false тогда уж парсить geoautocomplete.

Хотя...может это уже мои тараканы, в базе теперь винегрет, надо копать.

[abushyk 694]

Если речь о поиске, то текстовая составляющая вообще не принимается в расчет. Она учитывается только при добавлении формы. А модуль поиска ориентируется только на street_id. Т.е. если наавтокомплитил название, но совпадающего не нашлось, то введенная "абракадабра" не повлияет на поиск.

[XTRO 154]

о поиске спич....чтобы не оффтопить, потом выделюсь в отдельную ветку. сенкс.