Защита от подбора пароля в Drupal

  • Дата: 31 января 2017
Drupal 7 Login Security

Для защиты от подбора пароля или, как его еще называют, брутфорса, в Друпал существует модуль login_security. Этот модуль позволяет настроить режим доступа к сайту таким образом, что после некоторого количества неудачных попыток ввода логина и пароля, для данного пользователя или хоста вводятся ограничения.

Скачать модуль можно по ссылке. Далее следует установить его стандартным методом и включить. Если же у вас в системе установлен Drush, то для установки достаточно двух команд в директории с установленным Друпалом:

drush dl login_security
drush en login_security

Перейдите к настройке модуля ( Конфигурация > Пользователи > Login Security )

Основные настройки модуля



Рассмотрим по порядку основные настройки модуля:
Track time — время в часах, которое будем хранить отчетность об активности пользователей.
Maximum number of login failures before blocking a user — количество попыток входа пользователя за указанное ранее время, после которого пользователь блокируется. Данный параметр рекомендуется не устанавливать (оставить равным нулю). В противном случае пользователя может заблокировать любой бот, использующий логин этого пользователя. Разблокировать пользователя в этом случае может только администратор в ручном режиме.
Maximum number of login failures before soft blocking a host — количество попыток перед мягкой блокировкой хоста. Блокируется возможность входа (ввода имени пользователя и пароля) с определенного IP-адреса. Возможность анонимного просмотра страниц сайта остается.
Maximum number of login failures before blocking a host — то же самое, что и предыдущая настройка, только блокируется еще и возможность просматривать страницы сайта для этого IP-адреса.
Maximum number of login failures before detecting an ongoing attack — количество попыток неудачного входа зарегистрированного пользователя, перед тем как это будет расценено как атака и соответствующе обозначено в журнале.

Настройки уведомлений



Далее следует блок уведомлений. В нем настраиваются особенности отображения сообщений для пользователей:
Disable login failure error message — отметить если не хотите чтобы пользователь получал у ведомление о вводе неверного логина или пароля.
Notify the user about the number of remaining login attempts — отметить если хотите чтобы пользователь получал уведомление о количестве оставшихся попыток ввода логина/пароля.
Display last login timestamp — если отмечено, после удачного входа, пользователь увидит сообщение о времени предыдущего своего входа на сайт.
Display last access timestamp — если отмечено, пользователь, после удачного входа, увидит сообщение о времени своего последнего доступа к сайту.

Далее поля для ввода имени пользователя, который будет оповещен о блокировке пользователя (Select who should get an email message when a user is blocked by this module) и об атаке (Select who should get an email message when an ongoing attack is detected).

Следующий пункт (Edit notification texts) — раскрывающиеся формы для редактирования сообщений на сайте для пользователей и содержимое писем для администратора.

Tags: 
drupal
security