Перебор паролей в админке форума — как с этим жить?
Никогда не думал, что перебор паролей к админке форума может быть такой болью, пока не столкнулся лично. Самое очевидное — ставьте защиту от брутфорса, типа fail2ban или специальные модули в веб-сервере, чтобы банить IP после нескольких неудачных попыток. Но часто бывает, что уязвимость не в самом переборе, а в слабых паролях или старом софте, который легко обойти.
Ещё хороший вариант — двухфакторная авторизация, если CMS её поддерживает, или хотя бы ограничение доступа к админке по IP (через .htaccess или на уровне сервера). Многие парсятся над этим халатно, и потом удивляются атакам.
Проверяю обычно логи сервера на повторяющиеся попытки входа, а также смотрю весомость паролей в админке — по факту если пароль слабый, брутфорс отработает быстро. Рекомендую не держать доступ к панели на стандартных адресах типа /admin или /admin.php — чаще меняйте URL, это не панацея, но сбивает с толку сканеры.
А кто как борется с этой проблемой? Может, есть более прикольные инструменты или техники?