Был у меня пост любви всем, кто использует на сайтах пользователя с повышенными правами с логином admin (или administrator), немножко мы похоливарили внутри, но согласились, если память не изменяет, что "руки перед едой мыть всё-таки надо".
И вот так сложилась цепь событий сегодня, что владельцы 10 сайтов на 1С-Битрикс получили от меня в спешке написанное письмо, которое касалось именно admin. Поскольку у меня, как всегда в такие моменты, мысли буквально роились в голове, то в письмо попало некоторое количество информации, которая была абсолютно необязательна к получению адресатами.
Я извиняюсь перед всеми людьми, которым доставил неудобства! Те к кому я обращаюсь поняли, надеюсь это.
[spoiler]
А теперь к пятничной теме холивара. Так вот из неслучайной выборки сайтов 13 были сделаны на 1С-Битрикс и на 10 из них был пользователь admin (ВОЗМОЖНО НЕ ИМЕЮЩИЙ ПОВЫШЕННЫХ ПРАВ!!!)
Вот лично у меня на сайте тоже есть такой юзер. Используется как honeypot - доступа у него ни к чему нет, но он активен и я слежу за попытками подобрать к нему пароль (и даже не препятствую этому, наблюдаю).
Однако считаю, что на длительной выдержке (годы и десятилетия) пользователь admin или administrator (ну или другой предсказуемый, но эти - это АПОГЕЙ) - такие логины могут скомпрометировать ресурс, если не ограничить их (как их права, так и возможность попыток авторизации).
10 лет = 3*10^8 секунд. Даже подбирая с 1 ИП по словарю шанс есть. Если использовать прокси и несколько потоков...
P.S. в понедельник с меня пост на другую более конструктивную тему. Очень забавный. admin мелькнёт случайно, за что и извинился выше.
И вот так сложилась цепь событий сегодня, что владельцы 10 сайтов на 1С-Битрикс получили от меня в спешке написанное письмо, которое касалось именно admin. Поскольку у меня, как всегда в такие моменты, мысли буквально роились в голове, то в письмо попало некоторое количество информации, которая была абсолютно необязательна к получению адресатами.
Я извиняюсь перед всеми людьми, которым доставил неудобства! Те к кому я обращаюсь поняли, надеюсь это.
[spoiler]
А теперь к пятничной теме холивара. Так вот из неслучайной выборки сайтов 13 были сделаны на 1С-Битрикс и на 10 из них был пользователь admin (ВОЗМОЖНО НЕ ИМЕЮЩИЙ ПОВЫШЕННЫХ ПРАВ!!!)
Вот лично у меня на сайте тоже есть такой юзер. Используется как honeypot - доступа у него ни к чему нет, но он активен и я слежу за попытками подобрать к нему пароль (и даже не препятствую этому, наблюдаю).
Однако считаю, что на длительной выдержке (годы и десятилетия) пользователь admin или administrator (ну или другой предсказуемый, но эти - это АПОГЕЙ) - такие логины могут скомпрометировать ресурс, если не ограничить их (как их права, так и возможность попыток авторизации).
10 лет = 3*10^8 секунд. Даже подбирая с 1 ИП по словарю шанс есть. Если использовать прокси и несколько потоков...
- Ставьте ограничения по количеству попыток авторизации и временный бан ИП после этого
- Ставьте ограничения по ИП на доступ к каталогу /bitrix/ и админке (лучше на уровне сервера, а не продукта) или закрывайте его вовсе для внешнего мира, если это возможно
- не используйте предсказуемые логины\пароли (в том числе лучше регулировать логины, идентичные почтовым - социальный инженеринг может с вами сыграть злую шутку)
- продолжайте список в комментариях
P.S. в понедельник с меня пост на другую более конструктивную тему. Очень забавный. admin мелькнёт случайно, за что и извинился выше.