Là drupal an toàn chống lại các cuộc tấn công đăng nhập vũ lực?

Một cuộc tấn công vũ phu là một nỗ lực để có được quyền truy cập trái phép vào một trang web bằng cách liên tục tạo và nhập các kết hợp khác nhau của mật khẩu. Nhiệm vụ này thường được thực hiện bởi phần mềm tự động hóa ("bot") nhằm tìm kiếm thông báo thành công hay thất bại và tiếp tục thử mật khẩu mới cho đến khi nhận được thông báo thành công.

Theo mặc định, Drupal 7 có an toàn không? cấu hình an toàn hơn cho nó là gì? Mô-đun nào có thể giúp tôi đăng nhập an toàn hơn?

Như bạn có thể thấy trong mã, hàm user_login_final_validate đăng ký một sự kiện lũ lụt. Điều đó có nghĩa là nếu cùng một IP cố gắng kết nối mật khẩu người dùng / đăng nhập nhiều lần, chúng tôi sẽ bị "cấm" trong một thời gian.

Đây là một trong những biện pháp bảo vệ mà Drupal đưa ra. Một số khác, và tôi nghĩ rằng nếu nó xảy ra với trang web của bạn, bạn sẽ nhận thấy nó rất nhanh, đó là mã thông báo CSRF mà Drupal tạo ra cho mỗi biểu mẫu.

Điều này có nghĩa là bot kẻ tấn công sẽ tạo biểu mẫu, sau đó lấy mã thông báo và liên kết nó với biểu mẫu gửi. Điều đó rất tốn thời gian và có khả năng sẽ làm nản lòng kẻ tấn công. Nhưng trước tiên, bạn sẽ thấy máy chủ của bạn bắt đầu nóng hơn.

Ngoài các biện pháp tốt mà Drupal 7 thực hiện để dừng các nỗ lực đăng nhập, tôi sẽ đề nghị cài đặt mô-đun Spambot , liên quan cụ thể đến các nỗ lực đăng ký người dùng mới.

Tại mỗi lần đăng ký người dùng mới, mô-đun đó sẽ truy vấn máy chủ Spam Forum dừng lại để xem người dùng đang cố đăng ký có phải là bot đã biết hay không.

Bạn có thể tùy ý đóng góp để ngăn chặn Spam Diễn đàn với các nỗ lực đăng ký trang web của bạn.

Có kiểm soát lũ

Dự án này nhằm thêm giao diện quản trị cho các biến kiểm soát lũ ẩn trong Drupal 7, như các bộ hạn chế nỗ lực đăng nhập và bất kỳ biến ẩn nào trong tương lai.

Các chức năng xác định và tương tác với hệ thống kiểm soát lũ lõi

Hệ thống chống ngập cung cấp cho chúng ta ba chức năng:

flood_register_event($name, $window = 3600, $identifier = NULL)

Đăng ký một sự kiện cho khách truy cập hiện tại vào cơ chế kiểm soát lũ.

flood_clear_event($name, $identifier = NULL)

Làm cho cơ chế kiểm soát lũ quên đi một sự kiện cho khách truy cập hiện tại.

flood_is_allowed($name, $threshold, $window = 3600, $identifier = NULL)

Kiểm tra xem người dùng có được phép tiến hành sự kiện đã chỉ định hay không. Về cơ bản, chúng tôi kiểm tra xem người dùng có quyền truy cập hay không bằng cách gọi Flo_is_allowed. Nếu nó trả về SAI, hãy ném 'Truy cập bị từ chối. Bất cứ khi nào người dùng thực hiện hành động, chúng tôi gọi Flo_register_event.

Theo mặc định, nó kiểm tra địa chỉ ip của người dùng. Nhưng chúng ta có thể vượt qua một số định danh duy nhất khác như id người dùng.

Được sao chép ở trên từ Chơi với hệ thống chống ngập của Drupal

Suy nghĩ (và có) vấn đề này, tôi đã viết một mô-đun cho phép bạn ngăn chặn các cuộc tấn công này: https://drupal.org/project/AntispammerBot

Bạn có thể chọn vai trò nào an toàn, có bao nhiêu nút mà người dùng có thể xuất bản trước khi coi đó là một cuộc tấn công spam, v.v ...