X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Потенциальная дыра в вашем шаблоне Wordpress, Во многих шаблонах можно легко узнать логин админа
Neolot
Neolot
Topic Starter сообщение 17.5.2010, 17:37; Ответить: Neolot
Сообщение #1


Участник
***

Группа: User
Сообщений: 178
Регистрация: 24.12.2008
Из: Одесса
Поблагодарили: 56 раз
Репутация:   10  


Как известно, одним из способов обезопасить сайт на Wordpress является смена стандартного админского логина на любой другой, что должно усложнить подбор данных для аутентификации. Однако во многих шаблонах (в том числе в default) можно легко узнать логин админа, достаточно открыть исходный код.
Откройте любой блог на странице, где есть комментарии и ответы автора, и посмотрите исходный код комментариев. Ищите классы вида «bypostauthor» и «comment-author-<login>», где <login> и есть логин автора. Поскольку в 95% блогов автор один, то это и есть логин админа.
Вам нравится такое? Мне нет, поэтому давайте избавимся от этой подсказки для хакера.
Читать продолжение


--------------------
Создание сайтов на Wordpress, ModX, Битрикс.
Личный блог
10
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
combivir
combivir
сообщение 17.5.2010, 17:41; Ответить: combivir
Сообщение #2


Участник
***

Группа: User
Сообщений: 111
Регистрация: 14.8.2009
Поблагодарили: 23 раза
Репутация:   5  


Если бы ты написал ещё как пароль найти rolleyes.gif


--------------------
Биржа рекламных обзоров GoGetLinks
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Lame13
Lame13
сообщение 17.5.2010, 17:54; Ответить: Lame13
Сообщение #3


Частый гость
**

Группа: User
Сообщений: 98
Регистрация: 13.4.2010
Из: Thailand, Bangkok
Поблагодарили: 17 раз
Репутация:   5  


Логин - это фигня, почти везде admin.

А вот пароль подобрать СУЩЕСТВЕННО сложнее. Брутфорсом почти нереально - 26+26+сколько_там_символов в 14й степени. Только буквы - это 1, 056, 931, 425, 538, 820, 521, 590, 784 вариантов пароля ;)

Далее предположим, что один средний серв может генерить по 1000 паролей в секунду (спецом побольше беру :)) - получается 1056931425538820521590 секунд. ОК, предположим, что злостный хакер для взлома какого-нибудь сателлита возьмет 1000 серваков, получаем 1056931425538820521 секунд на взлом. Это просто нереально.

Проще подобрать пароль к почте вебмастера, т.к. там обычно стоит не мешанина из цифр, букв и т.п., а что-то простое :)

з.ы. кстати, не 26+26+сколько_там_символов в 14й степени, а 26+26+10+сколько_там_символов в 14й степени

цифры не учел :)

т.е. почти в 12 раз больше паролей.


--------------------
Здесь я беру кеи
Отличные серверы - мы вместе уже 5 лет :) //или 6? О_О ОМГ! теперь и в Европе! :)


Поблагодарили: (2)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Monik
Monik
сообщение 17.5.2010, 18:03; Ответить: Monik
Сообщение #4


Бывалый
****

Группа: User
Сообщений: 343
Регистрация: 19.12.2009
Из: Новокузнецк
Поблагодарили: 175 раз
Репутация:   50  


(Lame13 @ 17.5.2010, 20:54) *
Логин - это фигня, почти везде admin.

А вот пароль подобрать СУЩЕСТВЕННО сложнее. Брутфорсом почти нереально - 26+26+сколько_там_символов в 14й степени. Только буквы - это 1, 056, 931, 425, 538, 820, 521, 590, 784 вариантов пароля wink.gif

Далее предположим, что один средний серв может генерить по 1000 паролей в секунду (спецом побольше беру smile.gif) - получается 1056931425538820521590 секунд. ОК, предположим, что злостный хакер для взлома какого-нибудь сателлита возьмет 1000 серваков, получаем 1056931425538820521 секунд на взлом. Это просто нереально.

Проще подобрать пароль к почте вебмастера, т.к. там обычно стоит не мешанина из цифр, букв и т.п., а что-то простое smile.gif

з.ы. кстати, не 26+26+сколько_там_символов в 14й степени, а 26+26+10+сколько_там_символов в 14й степени

цифры не учел smile.gif

т.е. почти в 12 раз больше паролей.

Отлично рассуждение cool.gif

Сообщение отредактировал Monik - 17.5.2010, 18:03
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Lame13
Lame13
сообщение 17.5.2010, 18:07; Ответить: Lame13
Сообщение #5


Частый гость
**

Группа: User
Сообщений: 98
Регистрация: 13.4.2010
Из: Thailand, Bangkok
Поблагодарили: 17 раз
Репутация:   5  


Спасибо :) Это - не рассуждение, это - факт :) Даже при освобождении всей памяти серва от всех процессов, я не знаю, сколько точно можно будет генерить пассов, например, на четырех ядрах, но вряд ли больше 10к. _Даже если_ это будет 100к - вероятность взлома брутфорсом настолько мала, что я просто на эту тему не парюсь. А вот скрывать логин юзера, не в обиду тс, это, имхо, просто бесполезно. Т.к. сам тс упомянул, что 95% блогов имеют одного автора, думаю, 99% из этих 95% всех блогов на вп имеют стандартного юзера admin. И будет ли это видеть теоретический хакер, или нет, не играет вообще никакой роли.


--------------------
Здесь я беру кеи
Отличные серверы - мы вместе уже 5 лет :) //или 6? О_О ОМГ! теперь и в Европе! :)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
dravci
dravci
сообщение 17.5.2010, 19:58; Ответить: dravci
Сообщение #6


Новичок
*

Группа: User
Сообщений: 39
Регистрация: 7.12.2009
Из: Ужгород
Поблагодарили: 11 раз
Репутация:   0  


Если сильно захотят то и так сломают, найдут баг в движке.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) ALFAcoins.com - Приём криптовалюты на вашем сайте
16 ALFAcoins 3494 Вчера, 17:06
автор: ALFAcoins
Открытая тема (нет новых ответов) Как включить автоматическое обновление для плагинов WordPress и самого движка?
0 Telnor 330 Вчера, 13:27
автор: Telnor
Открытая тема (нет новых ответов) 17 вещей на вашем сайте, которые ненавидят
Один из постулатов маркетинга — не раздражать людей
23 PostBrigada 3306 9.12.2017, 15:49
автор: Vmir
Открытая тема (нет новых ответов) Адаптация сайтов под мобильные устройства, качественная кроссбраузерная верстка, работа с Wordpress
PSD to HTML, натяжка макетов на Wordpress, адаптивная верстка
28 anton_ber 5135 6.12.2017, 13:39
автор: anton_ber
Открытая тема (нет новых ответов) Пропали блоки в продуктах Wordpress
6 mxxx 934 6.12.2017, 11:22
автор: mxxx


 



RSS Текстовая версия Сейчас: 11.12.2017, 8:14
Дизайн