При неверной авторизации на сайт на движке вордпресс появляются сообщения об ошибках: либо
либо
Сразу становвится видно, что введен неверный логин или неверный пароль при правильно введенном логине. Это категорически нехорошо. Поскольку основная масса народу на WordPress сидит под логином admin, злоумышленнику чтобы убедится имеет ли жертва такой логин, достаточно ввести его в поле ввода. Зная логин существенно легче получить доступ к сайту — остается подобрать только пароль.
Защитить от таких подсказок поможет следуещее лекарство. Достаточно прописать в файле function.php следующую функцию:
add_filter(‘login_errors’, create_function(‘$a’, «return null;»));
Теперь в сучае ошибки будет высвечиваться пустое поле с рамкой.
От брута это конечно не спасет, однако может отпугнуть неопытных хацкеров.
Лучшей защитой от брутфорса, на мой взгляд, является ограничение числа попыток авторизации.
Добавить комментарий