Hallo liebe Leser*in,
seit einiger Zeit beschäftigt mich die Frage nach verbesserter Sicherheit in WB.
Ich habe mehrere laufende Versionen von 2.12.x und sehe anhand meiner Logfiles, dass ettliche Aufrufe darauf abzielten Schwachstellen zu finden. Ich mache die über umfangreiche Logs, und definierter htaccess Datei auf dem (Hosting) Server. Ich leite alle 404 Pages an eine Seite, die prüft was versucht wurde aufzurufen.
Was da alles so zu Tage kommt, ist schon erstaunlich. Was ich damit nicht abfangen kann sind direktaufrufe von WB Seiten (wie login.php), das ist nicht ganz optimal. Ich hab mir überlegt als zusätzliches Feature OTP/2FA zu implementieren. Eine DEMO-Seite habe ich hier mal ans Laufen gebracht, aber noch nicht integriert (weil umfangreiche Änderungen notwendig werden).
Meine bisherige Überlegung:
- Weitere Tabelle in der DB mit den SEC Keys pro User
- Anstatt POST auf allen Seiten eigene Loginpage
- Wenn problematisch, vorherige Abfrage ob OTP valide, danach erst POST request an login.php
Jetzt möchte ich wenig an WB verändern, vielleicht hat sich schon mal jemand mit diesem Thema auseinander gesetzt?
Für Anregungen und Tips bin ich sehr dankbar.

Meine OTP-Demo läuft unter:
https://www.bau-arge.de/pages/g2fa-test.php