Oldal: 1 / 2 12 UtolsóUtolsó
Eredmény: 1 - 10 (11) összesen

Téma: Wordpress + PAM

  1. #1
    Bölcs earnnet logója
    Csatlakozott
    12-08-15
    Hely
    Budapest
    Hozzászólás
    1.529
    Begyűjtött 687 köszönetet
    485 hozzászólásával

    Alapbeállítás Wordpress + PAM

    Wordpress guruk!

    Itt az első WP kérdésem. Le szeretném cserélni a WP beépített autentikációját olyanra, hogy a szerveren már telepített PAM-ot használja. Röviden: belépsz az adminba, akkor küldjön egy ellenőrző kódot a mobilomra.

    Plugint nem találtam, szerintem a bővítmények nem is tudnak ilyen szinten beleavatkozni a rendszerbe. Aki látott már mélyebbről wordpresst, írhat nekem minden okosságot! Köszi.



  2. #2
    Bölcs earnnet logója
    Csatlakozott
    12-08-15
    Hely
    Budapest
    Hozzászólás
    1.529
    Begyűjtött 687 köszönetet
    485 hozzászólásával

    Alapbeállítás re: Wordpress + PAM

    Utoljára módosítva: earnnet által : 2015-05-12 10:07

  3. #3
    Bölcs earnnet logója
    Csatlakozott
    12-08-15
    Hely
    Budapest
    Hozzászólás
    1.529
    Begyűjtött 687 köszönetet
    485 hozzászólásával

    Alapbeállítás re: Wordpress + PAM

    már nem tudok beleszerkeszteni, ha érdekel valakit felraktam végül a Clef-et, és tudom ajánlani mindenkinek !!
    ez jelenleg a wordpress leggyengébb pontja, a belépés

    a meglévő belépést olyanra cseréli, hogy egy speckó vonalkódot kelljen leolvasni a mobiloddal belépéshez
    a bonyodalom ugye, hogy mindig nálad kell lennie a mobilnak, viszont így aki fel akarja törni, annak egy külön mobilalkalmazást kell legyártani, ki kell találnia az alkalmazásspecifikus PIN kódom és megpróbálni úgy bruteforceolni a kódleolvasást, hogy arra ~10 millió az egyhez esélye van és három próba után kitilt a szerver

    [A wordpress alapból nem limitálja a sikertelen belépések számát]




  4. #4
    Tag
    Csatlakozott
    15-02-03
    Hozzászólás
    72
    Begyűjtött 24 köszönetet
    23 hozzászólásával

    Alapbeállítás re: Wordpress + PAM

    Ez elég macerás beléptetés. Ha csak brute force-tól tartatsz, akkor erre több megoldás is lehetséges: wp oldali, vagy szerver oldali. Előbbi-re van egy rakat. Utóbbira - ha saját szervered van - telepíts fail2ban vagy ossec okosságot.



  5. #5
    Bölcs earnnet logója
    Csatlakozott
    12-08-15
    Hely
    Budapest
    Hozzászólás
    1.529
    Begyűjtött 687 köszönetet
    485 hozzászólásával

    Alapbeállítás re: Wordpress + PAM

    A szerver biztonságos, csak a WP érdekel. Csak biztosra szeretnék menni és nem szívesen dolgoznék noname pluginekkel, mert azokban is lehetnek biztonsági rések.



  6. #6
    Tag
    Csatlakozott
    15-02-03
    Hozzászólás
    72
    Begyűjtött 24 köszönetet
    23 hozzászólásával

    Alapbeállítás re: Wordpress + PAM

    Biztonságos szerver nincs! :-( Amit említettem az nem csupán a szervert védi, hanem a wp-t is, ha be van konfigolva. Lehet vele például tiltani a spamlistán levő IP-ket, pár próba után észleli h robot-e, stb. Azt se felejtsük el, h hiába jó a szerver ha elesik a szájtod, akkor neked tökmindegy hogy megy-e a szerver tovább. Márpedig WP nem a biztonságáról...



  7. #7
    Bölcs earnnet logója
    Csatlakozott
    12-08-15
    Hely
    Budapest
    Hozzászólás
    1.529
    Begyűjtött 687 köszönetet
    485 hozzászólásával

    Alapbeállítás re: Wordpress + PAM

    De. Be van állítva chroot jail, fail2ban, logolás és minden, ami kell. Aki be akar lépni, annak publickey + password + mobile verification. Egyszerre mind a három. A root belépés tiltva van. Nincsenek engedélyezve plusz szolgáltatások. Nincsenek megnyitva plusz portok.

    Nem tök mindegy, mert nem egy site van rajt, hanem tíz. És egy site feltörése nem befolyásolhatja a többinek a működését.

    A WP nem a biztonságról híres. Igen. Azért van ez a téma létrehozva. Mert egy sima bruteforceszal feltörhetek bármilyen wp oldalt.



  8. #8
    Tag
    Csatlakozott
    15-02-03
    Hozzászólás
    72
    Begyűjtött 24 köszönetet
    23 hozzászólásával

    Alapbeállítás re: Wordpress + PAM

    Nem kötözködésképp, de úgy érzem ellentmondásba keveredtél magaddal.
    Idézet earnnet eredeti hozzászólása Hozzászólás megtekintése
    Be van állítva chroot jail, fail2ban, logolás és minden, ami kell.
    Ha be van állítva fail2ban és log akkor tiltja x próbálkozás után, de akkor minek brute force elleni wp megoldás: már ott van :-)



  9. #9
    Bölcs earnnet logója
    Csatlakozott
    12-08-15
    Hely
    Budapest
    Hozzászólás
    1.529
    Begyűjtött 687 köszönetet
    485 hozzászólásával

    Alapbeállítás re: Wordpress + PAM

    Ha be van állítva fail2ban és log akkor tiltja x próbálkozás után, de akkor minek brute force elleni wp megoldás: már ott van :-)
    Mert két külön dolog. A fail2ban csak a szerver szolgáltatásaira (jelen esetben sshd) vonatkozik, nem lehet kiterjeszteni holmi php beléptetésre.



  10. #10
    Tag
    Csatlakozott
    15-02-03
    Hozzászólás
    72
    Begyűjtött 24 köszönetet
    23 hozzászólásával

    Alapbeállítás re: Wordpress + PAM

    LOL. Már hogyne lehetne. Pl. F2B filter Szóval a f2b a logo(ka)t figyeli.



  11. Az alábbi felhasználók hálásak a válaszért:

    earnnet (2015-05-13)

Oldal: 1 / 2 12 UtolsóUtolsó

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •