Esta división ha sido aprobado por nuestros expertos para garantizar la veracidad de nuestra esta división.
Solución:
Como puede ver en el código, la función user_login_final_validate registra un evento de inundación. Eso significa que si una misma IP intenta conectar un usuario/contraseña de inicio de sesión muchas veces, seremos “baneados” por un tiempo.
Esta es una de las protecciones que ofrece Drupal. Otro, y creo que si le sucede a su sitio web lo notará muy rápido, es el token CSRF que genera Drupal para cada formulario.
Esto significa que el bot atacante debe generar el formulario, luego obtener el token y asociarlo con el formulario de envío. Eso lleva mucho tiempo y probablemente desanimará al atacante. Pero primero, verá que su servidor comienza a calentarse.
Además de las buenas medidas que implementa Drupal 7 para detener los intentos de inicio de sesión, sugeriría instalar el módulo Spambot, que se ocupa específicamente de los intentos de registro de nuevos usuarios.
En cada nuevo registro de usuario, ese módulo consultará el servidor Stop Forum Spam para ver si el usuario que intenta registrarse es un bot conocido.
Opcionalmente, puede contribuir a Stop Forum Spam con los intentos de registro de su sitio web.
Hay control de inundaciones
Este proyecto está destinado a agregar una interfaz de administración para variables de control de inundaciones ocultas en Drupal 7, como los limitadores de intentos de inicio de sesión y cualquier variable oculta futura.
Las funciones para definir e interactuar con el sistema central de control de inundaciones
El sistema de inundación nos proporciona tres funciones:
flood_register_event($name, $window = 3600, $identifier = NULL)
Registre un evento para el visitante actual en el mecanismo de control de inundaciones.
flood_clear_event($name, $identifier = NULL)
Haga que el mecanismo de control de inundaciones se olvide de un evento para el visitante actual.
flood_is_allowed($name, $threshold, $window = 3600, $identifier = NULL)
Comprueba si el usuario puede continuar con el evento especificado. Básicamente, verificamos si un usuario tiene acceso llamando a flood_is_allowed. Si devuelve FALSO, arroja un ‘Acceso denegado’. Cada vez que un usuario realiza la acción, llamamos flood_register_event.
Por defecto comprueba la dirección IP del usuario. Pero podríamos pasar algún otro identificador único como la identificación del usuario.
Arriba copiado de Playing with Drupal’s flooding system
Nos puedes patrocinar nuestro estudio mostrando un comentario o dejando una puntuación te damos las gracias.