web-dev-qa-db-fra.com

Joomla peut-il être attaqué par force brute?

Juste par curiosité: un pirate informatique pourrait-il écrire un script pour forcer brutalement la connexion de l’administrateur Joomla en essayant des noms d’utilisateur/mots de passe aléatoires, ou existe-t-il une limite quant au nombre de fois qu'un utilisateur peut essayer de se connecter?

J'ai vu plugins dans le répertoire d'extensions Joomla qui (entre autres fonctions) prétend protéger votre site contre les attaques brutales. Est-il nécessaire d'utiliser une telle extension?

4
Bogowoe

Toute page de connexion avec un champ de saisie 'userid "et" pass "peut être forcée brutalement si aucune autre protection n'est appliquée. Il en va de même avec Joomla !.

Vous pouvez utiliser le plugin que vous avez déclaré pour atténuer l'attaque, ainsi qu'un " fort "mot de passe peut retarder une force brute relativement indéfiniment (jusqu'à ce que l'attaquant abandonne).

Une autre option serait d’ajouter un captcha au formulaire de connexion après un certain non. des tentatives de connexion infructueuses (comme le fait Google).

Vous pouvez également utiliser CDN pour ajouter une couche de sécurité supplémentaire contre la force brutale, comme le fournit gratuitement CloudeFlare.

3
Mohd Abdul Mujib

Étant donné que vous n'avez pas spécifié de version de Joomla, je suppose que vous faites référence à Joomla 3.3.

Joomla 3.3 utilise BCrypt pour hacher les mots de passe, comme Joomla 2.5 qui utilisait md5 + salt.

Voici un petit extrait de Nice que j'ai trouvé dans yorickpeterse.com:

Je ne vais pas aborder tous les détails techniques, mais BCrypt exige que vous spécifiiez un facteur de coût/travail afin de générer un mot de passe. Ce facteur de travail non seulement ralentit l'ensemble du processus, mais est également utilisé pour générer le hachage final. Cela signifie que si quelqu'un devait changer de facteur de travail, le hachage serait également différent. En d'autres termes, les pirates, vous êtes foutu. Pour qu'un pirate informatique obtienne le mot de passe d'origine, il doit utiliser le même facteur de travail et doit donc attendre N fois plus longtemps que s'il n'utilisait pas de facteur de travail.

Donc, pour répondre à votre question initiale, oui, il est probablement possible de recourir à la force brutale , mais cela prendrait des années très probablement . Bcrypt est considéré comme l’une des techniques de hachage les plus avancées sur le marché.

Vous pouvez également vous intéresser à l'authentification à deux facteurs de Joomla, qui constitue une couche de sécurité supplémentaire. Lisez les informations suivantes pour plus d'informations:

http://www.Dart-creations.com/joomla/joomla-tutorials/enabling-and-using-joomla-two-factor-authentication.html

Aucun plugin tiers supplémentaire n'est requis.

1
Lodder