*** Under Construction ***
Метка: security
Adaptive Login Action
Адаптивная Форма Входа
Попытка найти компромисс между собственным Комфортом и собственной Паранойей.
Концепция:
1. “Режим Нулевого Доверия”
Рекомендуется для небольших групп постоянных пользователей со Статическим IP Адресом.
Для Динамических IP Адресов и Мобильных Пользователей – нецелесообразно.
Если мой текущий IP адрес не скомпрометирован, с последнего моего успешного входа, то нет необходимости подвергать меня процессу жесткого недоверия и заставлять проходить Квесты на разгадывание разного вида Капч.
В таком случае, вполне достаточно стандартного Поля “Пароль” и одной Попытки.
А вот если Попытка неудачна, то IP адрес считается скомпрометирован, и тогда можно и нужно подвергнуть меня (или того, кто пытается быть мной) более тщательной процедуре входа.
Тут могут быть разноуровневые варианты. Не важно (это будет постепенно добавляться в функционал). Сейчас мы говорим об Общем Принципе.
2. “Режим Динамических IP”
Рекомендуется для мобильных пользователей с Динамическим IP Адресом.
Для Статических IP Адресов – нецелесообразно.
Если предыдущий Вход Пользователя был Успешный, то его следующая Аутентификация производится по упрощенному методу.
Достаточно только ввести правильный Пароль. Но дается лишь одна попытка.
И если Пароль был введен неверно, то в Форму для Входа добавляется элемент дополнительной безопасности: Поле “Secret Key”.
= Futured =
* На каждый IP адрес формируется отдельная статистика и определяется соотношение “Удачное количество входов” / “Общее количество входов”. В зависимости от того, насколько этот параметр близок к 100%, можно говорить о необходимости Жесткости процесса Недоверия.
* Данный механизм запускается на этапе до того, как Пользователь ввел свой Логин.
* Важным моментом является то, что независимо от того, какая именно произошла Ошибка Аутентификации, будь то:
– Неверное Имя Пользователя;
– Неверный Пароль Пользователя;
– Неверно указаны элементы дополнительной безопасности: “Secret Key” / Капча / пр.
В сообщении об Ошибке это указано не будет. Всегда будет лишь одно сообщение: “Ошибка Аутентификации”.
Таким образом, мы не указываем потенциальному Злодею / Боту, явным образом причину отказа в доступе. И чем больше таких невыясненных Причин, тем сложнее становится процедура Входа для атакуемого.
И наоборот, процедура Входа может максимально упрощаться, если нет на то явных причин.
* В случае нескольких неудачных подряд попыток Входа, может быть активирован Ограничительный Таймаут для данного Пользователя.
* Интегрирован с плагином “New Users Monitor“.
Читать далее «Adaptive Login Action»
Hack-Info
“Hack-Info” – Бесплатный плагин, ранее – дополнение к плагину “iThemes Security” для улучшения восприятия информации о событиях, которые важно именно оперативно и детально видеть и понимать. Без необходимости лишних кликов и переходов. Плагин уведомляет администратора сайта, предоставляя подробный список IP адресов, запросов – попыток сканирования ресурсов и перебора паролей с указанием имен.
* Пришло время, стать самостоятельным и независимым от чужих структур DB инструментом. Мы, теперь – Взрослые. ))
Users Login Monitor
“Users Login Monitor” – Бесплатный плагин, который предназначен для того, чтобы ежедневно уведомлять администратора сайта, предоставляя список пользователей, которые логинились в течении суток.
Читать далее «Users Login Monitor»
New Users Monitor
“New Users Monitor” – Бесплатный плагин, который поможет вам оперативно узнать, что вас уже взломали. Это – основная его задача. Ну а в общем случае, он проинформирует о появлении в WP нового пользователя. Если вы – администратор, то такое событие для вас важно.
* Все обнаруженные новые Пользователи, будут подсвечиваться красным, до тех пор, пока Администратор сайта не подтвердит полномочия для каждого из них на странице Профиля.
* Этот плагин уже многократно выручал, когда некоторые сайты (особенно, на которые давно не заходил с проверкой) уже были взломаны. Но благодаря тому, что было своевременно получено автоматическое уведомление, удалось быстро среагировать и остановить развитие проблемы.
* При активной Опции: “Запретить Вход, если Пользователь не подтвержден”, вы будете спать гораздо спокойнее.
Читать далее «New Users Monitor»