The Limit Login Attempts anterior a 1.7.1 para WordPress no borra las cookies de autenticación tras un bloqueo, lo que podría facilitar que los atacantes remotos realicen intentos de autenticación por fuerza bruta.
Registro de cambios 1.7.1
Esta versión corrige un error de seguridad en la versión 1.6.2 y 1.7.0. Actualice de inmediato.
Las “cookies de autenticación” son cookies especiales que se establecen al iniciar sesión y que lo autentican en el sistema. Así es como WordPress "recuerda" que ha iniciado sesión entre cargas de página.
Durante el bloqueo se supone que deben borrarse, pero un cambio en 1.6.2 lo rompió. Permitía que un atacante siguiera intentando romper estas cookies durante un bloqueo.
El bloqueo de los intentos normales de inicio de sesión con contraseña siguió funcionando como debería, y parece que todos los intentos de "cookies de autenticación" seguirían registrándose.
En teoría, la "cookie de autenticación" es bastante resistente al ataque de fuerza bruta. Contiene un hash criptográfico de la contraseña del usuario, y la dificultad para descifrarlo no se basa en la fuerza de la contraseña sino en las operaciones criptográficas utilizadas y la longitud del valor del hash. En teoría, debería llevar muchos años romper este hash. Como la teoría y la práctica no siempre concuerdan, es una buena idea tener bloqueos de trabajo de tales intentos.
Referencias:
https://wordpress.org/plugins/limit-login-attempts/#developers
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
