Перебор паролей в админке – как поставить надежный заслон?
У многих форумных админов сидит постоянный страх, что бот или злоумышленник просто будет перебивать пароль в админке до бесконечности. На деле с этим можно жить, но ключ – вовремя заметить и заблокировать попытки.
Первое, что стоит проверить – есть ли ограничение по числу неудачных входов. По умолчанию у многих CMS этот момент не всегда включен или настроен по-слабому. Локальная блокировка IP на пару минут после 3-5 неудачных неправильных вводов очень сильно режет перебор. Если такого нет, значит пора добавить.
Второе – капча на входе для админки. Да, это немного напрягает, но если бот пытается вломиться, капча порой спасает всё. Особенно, если ее не легко раскодировать.
Третье – двухфакторная аутентификация. Да, не все форумы поддерживают это в стандартном наборе, но поиск плагина или модуля, который добавит 2FA на админку, явно стоит усилий. Даже если кто-то угадает пароль, без второго фактора попасть намного сложнее.