Hvorfor blir ikke en enkel anti-brute-force funksjon bygget inn i Wordpress Core?

[zapotek]

Sitter og leser om de nye funksjonene i Wordpress 4.2, og nær sagt som vanlig når det kommer en ny versjon: Sikkert kjekt å ha, men ikke akkurat revolusjonerende ting for den jevne nettside.

Dette rett etter å lest en diskusjon hvor det diskuterer om hvorvidt Limit Login Attempts-pluginet er trygt å bruke siden det ikke har blitt oppdatert på år og dag.

Det er ikke akkurat en nyhet at Wordpressinstallasjoner dag og natt bombarderes av brute-force innloggingsforsøk. Uten Limit Login Attempts (eller lignende sikkerhetsplugins/endring av innloggingsadresse) kan disse botene kjøre angrepene sine til de blå i trynet. Det skal selvsagt litt til å bli hacket på denne måten hvis passordet er av noe lengde, men det må da ete båndbredde?

Kort sagt, ALLE som kjører Wordpress BØR vel strengt tatt bruke noe ala LLA. Samtidig er hvert nytt plugin du bruker også en sikkerhetsrisiko i seg selv.

2 + 2 = ?

Burde ikke en enkel beskyttelsesfunksjon bygges inn i Wordpress Core etterhvert?

(Jada, jeg vet Wordpress er gratis og greier, men likevel!)

 

[i-net]

Enig. Akkurat slitt med hacking av wordpress sider. :\

 

[mra]

Helt enig i at prioriteringen av ny funksjonalitet i WordPress ofte virker noe rar. WordPress begynner å få et rykte på seg for å være veldig utsatt for hacking (noe som selvsagt i stor grad er fordi plattformen er så åpen og enkel å gå til at selv Bestemor kan lage sine egne plugins). En begrensning på antall feilet innlogginger + funksjon for å definere URL til backend hadde hjulpet mye på sikkerheten og burde ærlig talt ikke være spesielt vanskelig å få til.

 

[zapotek]

Og slenger de i samme slengen på funksjonalitet ala All In One Seo / YOAST og et kontaktskjema, så hadde 80% av alle Wordpressinstallasjonene ikke trengt å installere et eneste plugin.

 

[adeneo]

Nå var det vel nettopp et gigantisk sikkerhetshull i Yoast også, så det er nok ikke alltid like enkelt.

Kan dog være enig i at man burde integrere et eller annet system for å sikre login bedre fra brute force, for eksempel øke tiden det tar for tilbakemelding for hvert forsøk, slik en del andre CMS gjør, blant annet Xenforo som WF bruker.

 

[mra]

Og slenger de i samme slengen på funksjonalitet ala All In One Seo / YOAST og et kontaktskjema, så hadde 80% av alle Wordpressinstallasjonene ikke trengt å installere et eneste plugin.

Nja, er ikke nødvendigvis enig i det - Selvsagt bør man prøve å holde bruken av plugins til et minimum, men samtidig bør man også passe seg for at ikke kjernen i WordPress blir for stor og tung. Funksjonalitet som bedrer sikkerheten kan man argumentere for er noe alle trenger, men f.eks. et kontaktskjema er det ikke alle som har behov for.

 

[Travellingman]

Mange bruker Jetpackplugin, de har en modul som kan aktiveres for brute force angrep.

 

[Tonny Kluften]

Brute force angrep er ikke den største grunnen til at WP blir hacket så jeg mener at en slik funksjon ikke trengs.