Điều này không ngăn cản: Brute Force
tất cả những gì nó làm là ngăn chặn các cuộc tấn công vũ phu tự động?
Không. Điều này không ngăn chặn các cuộc tấn công vũ phu.
Trong một cuộc tấn công vũ phu, kẻ tấn công có quyền kiểm soát tất cả các tham số của yêu cầu HTTP. Điều này bao gồm người giới thiệu. Vì kẻ tấn công có thể gửi các tham chiếu tùy ý, điều này không ngăn chặn các cuộc tấn công vũ phu. (Hầu hết) tất cả các công cụ vũ lực sẽ cho phép thiết lập một người giới thiệu và thiết lập trang web làm người giới thiệu là khá chuẩn.
Các cơ chế bảo vệ chống lại lực lượng vũ phu sẽ bị cấm hoặc điều tiết trên cơ sở IP hoặc tên người dùng, cũng như captcha.
Điều này có thể nhằm ngăn chặn: CSRF
Mã này có thể đã được thụt lề để thêm kiểm tra tham chiếu cho tất cả các yêu cầu POST vào khu vực quản trị. Nếu người giới thiệu không hợp lệ, yêu cầu bị từ chối.
Trong một cuộc tấn công CSRF, kẻ tấn công buộc nạn nhân thực hiện yêu cầu POST thay đổi trạng thái. Điều này có thể xảy ra bằng cách đăng mã HTML và Javascript tại trang Attacker.com, sau đó tự động gửi yêu cầu đến Vict.com sau khi nạn nhân được xác thực truy cập trang web.
Kiểm tra tham chiếu là một cơ chế để bảo vệ chống lại CSRF. Vì chỉ có nạn nhân.com được chấp nhận là người giới thiệu hợp lệ, kẻ tấn công không thể buộc nạn nhân gửi yêu cầu từ tên miền của chính họ.
Tất nhiên, WordPress có bảo vệ CSRF riêng (thông qua các tổ chức chống CSRF). Nhưng nó có thể không bắt được tất cả các trường hợp và tính bảo mật của các plugin phụ thuộc rất nhiều vào nhà phát triển plugin.
Kiểm tra tham chiếu bổ sung có thể giúp ngăn ngừa các lỗ hổng CSRF trong lõi WP, và đặc biệt là trong các plugin, không thể khai thác được.
Tất nhiên, nếu đây là ý định, mã bị lỗi. Các $
trong RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
ngăn ngừa việc kiểm tra đối với hầu hết các yêu cầu.
Việc kiểm tra cũng có thể dễ dàng được bỏ qua. Các giới thiệu sau đây sẽ được chấp nhận:
Referer: http://example.com.org
Referer: http://not-example.com
Referer: http://notexample.com
Referer: http://attacker.com/example.com
[...]
Để thêm bất cứ điều gì vào bảo mật của trang web, hai vấn đề này cần phải được khắc phục trước tiên. Mã cũng có thể được cải thiện hơn nữa bằng cách không bị hạn chế đối với các yêu cầu POST (trong các ứng dụng được viết kém, các yêu cầu GET cũng có thể thay đổi trạng thái máy chủ hoặc các yêu cầu POST có thể được chuyển đổi thành các yêu cầu GET). Vì kiểm tra chỉ áp dụng cho quản trị viên, điều này không hạn chế khả năng sử dụng.