it-swarm-es.tech

¿Puede ser atacado Joomla por fuerza bruta?

Solo por curiosidad: ¿podría un pirata informático escribir un script para forzar de forma bruta el inicio de sesión de administrador de Joomla probando nombres de usuario/contraseñas al azar, o hay un límite en cuanto a cuántas veces un usuario puede intentar iniciar sesión?

He visto complementos en el Directorio de extensiones de Joomla que (entre otras funciones) afirman proteger su sitio de ataques de fuerza bruta. ¿Es necesario usar tal extensión?

4
Bogowoe

Cualquier página de inicio de sesión con un campo de entrada de 'userid "y" pass "puede ser forzada si no se aplica ninguna otra protección. Lo mismo ocurre con Joomla !.

Puede usar el complemento que indicó para mitigar el ataque, y también tener un " ¡fuerte "la contraseña puede retrasar una fuerza bruta de forma relativamente indefinida (hasta que el atacante se rinda).

Otra opción sería agregar un captcha al formulario de inicio de sesión después de un cierto no. de intentos fallidos de inicio de sesión (como lo hace google).

También podría usar CDN para agregar otra capa de seguridad contra la fuerza bruta, como CloudeFlare proporciona una de forma gratuita.

3
Mohd Abdul Mujib

Como no ha especificado una versión de Joomla, supondré que se refiere a Joomla 3.3.

Joomla 3.3 usa BCrypt para hash contraseñas, a diferencia de Joomla 2.5 que usaba md5 + salt.

Aquí hay un pequeño fragmento que encontré en yorickpeterse.com:

No voy a cubrir todos los detalles técnicos, pero básicamente BCrypt requiere que especifique un costo/factor de trabajo para generar una contraseña. Este factor de trabajo no solo hace que todo el proceso sea más lento sino que también se usa para generar el hash final. Esto significa que si alguien cambiara el factor de trabajo, el hash también sería diferente. En otras palabras, hackers, estás jodido. Para que un hacker obtenga la contraseña original, debe usar el mismo factor de trabajo y, por lo tanto, tiene que esperar N veces más que cuando no usa un factor de trabajo.

Por lo tanto, para responder a su pregunta inicial, sí, es probable que sea posible aplicar fuerza bruta, sin embargo tomaría los años más probables. Bcrypt se considera una de las técnicas de hashing más avanzadas que existen en la actualidad.

También es posible que desee ver la Autenticación de dos factores incorporada de Joomla, que es una capa adicional de seguridad. Lea lo siguiente para obtener más información:

http://www.Dart-creations.com/joomla/joomla-tutorials/enabling-and-using-joomla-two-factor-authentication.html

No se requieren complementos de terceros adicionales.

1
Lodder