Morfitronik Security & Privacy

WordPress: Komunikat błędnego logowania

2015-06-06 11:05:41
Morfik

Jest kilka rzeczy, które mogą zdradzić dane logowania do serwisu WordPressa. Nie będę tutaj opisywał tej najbardziej oczywistej, czyli posługiwania się loginem bezpośrednio na blogu, tylko skupię się na nieco bardziej chytrej opcji, która zakłada odpytywanie formularza logowania w celu ustalenia, które loginy są dostępne w bazie danych. To tak jak grać w statki i strzelać na oślep, aż w końcu się trafi w któryś z nich, a skąd wiemy, że trafiliśmy? Po zwracanej odpowiedzi od drugiego gracza. I podobnie jest w przypadku formularza logowania WordPressa, z tym, że jeśli chodzi o strony www, to mamy nieco zawężone pole strzału, bo administrator/użytkownik zwykle wybiera niezbyt skomplikowany login często kojarzący się z pewnymi elementami jego życia, a gdy potencjalny atakujący ustali taki login, to będzie w stanie dokonać ataku Brute Force na hasło do tego konta.

Wiadomości przy logowaniu

By przekonać się jak działa powyżej opisany schemat, spróbujmy zalogować się na nieistniejące konto na naszym blogu. Powinniśmy dostać poniższy komunikat:

Z kolei, jeśli spróbujemy zalogować się na istniejące konto ale bez znajomości hasła do niego, to dostaniemy nieco inny monit:

Komunikaty są bardzo oczywiste i na ich podstawie możemy bez problemu stwierdzić, które konto istnieje w bazie, a które nie. Jeśli prowadzimy blog samotnie i mamy do tego zaprzęgnięty system komentarzy, np. z disqusa, to powinniśmy zastanowić się jak zabezpieczyć się przed takim próbkowaniem loginów. Oczywiście możemy zabronić dostępu do pliku wp-login.php ale to tylko pod warunkiem, że administratorzy lub/i autorzy wpisów mają stały adres IP. W przeciwnym wypadku musimy pomyśleć o innym rozwiązaniu.

Niejednoznaczny komunikat

Istnieje możliwość ujednolicenia tych dwóch powyższych komunikatów, tak by nie rezygnować z samej informacji o wprowadzeniu błędnych danych logowania ale też by nie zdradzać czy dane konto faktycznie istnieje w systemie.

Jeśli interesuje nas taki mechanizm, to do pliku functions.php w motywie bloga dodajemy poniższy kod:

// Filter Wordpress admin error message
function rs_custom_login_error( $message ) {
    global $errors;

    if (isset($errors->errors['invalid_username']) || isset($errors->errors['incorrect_password'])) :
        $message = __('ERROR: Invalid username or password combination.', 'morfik') . ' ' .
        sprintf(('%3$s?'),
        site_url('wp-login.php?action=lostpassword', 'morfik'),
        __('Password Lost and Found', 'morfik'),
        __('Lost Password', 'morfik'));
    endif;

    return $message;
}
add_filter( 'login_errors', 'rs_custom_login_error' );

I teraz już nie będzie miało znaczenia czy wprowadzimy zły login czy hasło, zawsze zostanie nam wyrzucony ten sam błąd:


Komentarze

Zawartość wpisu