Многие веб мастера имеющие свои сайты на WordPress не так давно узнали о том, что производится массовый подбор паролей к скрипту авторизации wp-login.php, а некоторые даже стали жертвами злоумышленников.
Когда я только развернул свой блог на WordPress то сразу исключил такую возможность для злоумышленников, и сделал это с помощью HTTP аутентификации для доступа к скрипту wp-login.php
Но и здесь все не так гладко. Существует объект XMLHttpRequest который относится к API и является доступным скриптовым языкам которые используются браузерами. На основе объекта XMLHttpRequest и языка javascript злоумышленнику ничего не помешает написать полноценный брутфорс, который будет получать статусы ответа веб сервера при попытке авторизации.
Когда я только развернул свой блог на WordPress то сразу исключил такую возможность для злоумышленников, и сделал это с помощью HTTP аутентификации для доступа к скрипту wp-login.php
Но и здесь все не так гладко. Существует объект XMLHttpRequest который относится к API и является доступным скриптовым языкам которые используются браузерами. На основе объекта XMLHttpRequest и языка javascript злоумышленнику ничего не помешает написать полноценный брутфорс, который будет получать статусы ответа веб сервера при попытке авторизации.
