暴力攻击是通过不断生成和输入各种密码组合来获得未经授权访问网站的尝试。此任务通常由自动化软件(“机器人”)完成,该软件会查找成功或失败消息,并不断尝试输入新密码,直到获得成功消息为止。
默认情况下,Drupal 7是否可以安全使用它?什么是更安全的配置呢?哪个模块可以帮助我更安全地登录?
暴力攻击是通过不断生成和输入各种密码组合来获得未经授权访问网站的尝试。此任务通常由自动化软件(“机器人”)完成,该软件会查找成功或失败消息,并不断尝试输入新密码,直到获得成功消息为止。
默认情况下,Drupal 7是否可以安全使用它?什么是更安全的配置呢?哪个模块可以帮助我更安全地登录?
Answers:
如您在代码中所见,函数user_login_final_validate注册了泛洪事件。这意味着,如果相同的IP尝试多次连接用户/登录密码,我们将在一段时间内被“禁止”。
这是Drupal提供的保护之一。另外一个,我想如果它发生在您的网站上,您会很快注意到它,它是Drupal为每种表单生成的CSRF令牌。
这意味着攻击者自动程序应生成表单,然后获取令牌并将其与提交表单相关联。那是非常耗时的,并且可能会阻止攻击者。但是首先,您将看到服务器启动变得更热。
除了Drupal 7为阻止登录尝试而采取的良好措施之外,我建议安装Spambot模块,该模块专门处理新的用户注册尝试。
在每次注册新用户时,该模块都会查询Stop Forum Spam服务器,以查看尝试注册的用户是否是已知的漫游器。
您可以选择使用网站的注册尝试来阻止论坛垃圾邮件。
有防洪
该项目旨在为Drupal 7中的隐藏的洪水控制变量添加一个管理界面,例如登录尝试限制器和任何将来的隐藏变量。
定义和与核心防洪系统交互的功能
洪水系统为我们提供了三个功能:
flood_register_event($name, $window = 3600, $identifier = NULL)
为洪水控制机制的当前访客注册一个事件。
flood_clear_event($name, $identifier = NULL)
使洪水控制机制忘记当前访客的事件。
flood_is_allowed($name, $threshold, $window = 3600, $identifier = NULL)
检查是否允许用户继续指定的事件。基本上,我们通过调用Flood_is_allowed来检查用户是否具有访问权限。如果返回FALSE,则抛出“访问被拒绝”。每当用户执行操作时,我们都将其称为Flood_register_event。
默认情况下,它检查用户的IP地址。但是我们可以传递其他一些唯一的标识符,例如用户ID。
以上摘自《玩Drupal的洪水系统》
考虑到(并具有)这个问题,我编写了一个模块,可以让您防止这种攻击:https : //drupal.org/project/AntispammerBot
您可以选择哪些角色是安全的,选择用户可以发布多少个节点,然后再将其视为垃圾邮件攻击,等等。