Um ataque de força bruta é uma tentativa de obter acesso não autorizado a um site, gerando e inserindo continuamente várias combinações de uma senha. Essa tarefa geralmente é realizada pelo software de automação (um "bot"), que procura mensagens de sucesso ou falha e continua tentando novas senhas até receber uma mensagem de sucesso.
O Drupal 7 é seguro contra ele por padrão? qual é a configuração mais segura para isso? Qual módulo pode me ajudar a fazer login com mais segurança?
Respostas:
Como você pode ver no código, a função user_login_final_validate registra um evento de inundação. Isso significa que, se um mesmo IP tentar conectar uma senha de usuário / login muitas vezes, seremos "banidos" por um tempo.
Essa é uma das proteções que o Drupal oferece. Outro, e acho que se isso acontecer com o seu site, você notará muito rapidamente, é o token CSRF que o Drupal gera para cada formulário.
Isso significa que o robô atacante deve gerar o formulário, obter o token e associá-lo ao formulário de envio. Isso consome muito tempo e provavelmente desencorajará o invasor. Mas primeiro, você verá seu servidor começando a ficar mais quente.
fonte
Além das boas medidas implementadas pelo Drupal 7 para interromper as tentativas de login, sugiro instalar o módulo Spambot , que trata especificamente de novas tentativas de registro de usuários.
A cada novo registro de usuário, esse módulo consulta o servidor Stop Forum Spam para ver se o usuário que está tentando se registrar é um bot conhecido.
Opcionalmente, você pode contribuir para o Stop Forum Spam com as tentativas de registro do seu site.
fonte
Existe controle de inundação
As funções para definir e interagir com o sistema central de controle de inundações
O sistema de inundação fornece três funções:
Registre um evento para o visitante atual no mecanismo de controle de inundação.
Faça o mecanismo de controle de inundação esquecer um evento para o visitante atual.
Verifica se o usuário tem permissão para continuar com o evento especificado. Basicamente, verificamos se um usuário tem acesso chamando flood_is_allowed. Se retornar FALSE, lance um 'Acesso Negado ”. Sempre que um usuário executa a ação, chamamos flood_register_event.
Por padrão, ele verifica o endereço IP do usuário. Mas poderíamos passar algum outro identificador exclusivo, como o ID do usuário.
Acima copiado de Brincando com o sistema de inundação do Drupal
fonte
Pensando (e tendo) esse problema, escrevi um módulo que permite evitar esse tipo de ataque: https://drupal.org/project/AntispammerBot
Você pode selecionar quais funções são seguras, quantos nós o usuário pode publicar antes de considerá-lo um ataque de spam, etc.
fonte