Збільшення невдалих спроб входу, нападів грубої сили? [зачинено]

Зачинено. Це питання поза темою . Наразі відповіді не приймаються.

Хочете вдосконалити це питання? Оновіть питання, щоб воно було тематичним для обміну стеками розвитку WordPress.

Закрито 4 роки тому .

Я встановив плагін Simple Lockdown, і тому що пару днів тому база даних записує понад 200 записів на день.

Я думаю, що неможливо, щоб мій сайт атакував стільки IP-адрес

Ви вважаєте, що щось не так?

Звичайно, це можливо. Ви знаєте тих людей, які натискають на все, не дійсно звертаючи увагу на те, що вони клацають? Звинувачуйте їх.

— s_ha_dum

Ви знаєте, як себе дозволити? Я підкреслив цей плагін, щоб отримати таке: "В доступі відмовлено. Ваша IP-адреса [Мій IP] перебуває в чорному списку. Якщо ви вважаєте, що це помилка, зверніться до відділу зловживань постачальників послуг хостингу." Readme щось говорить, але я не знаю, як правильно застосовувати модифікації та де. Який файл відредагувати?

— Boris_yo

Відповіді:

В даний час активний ботнет, що атакує сайти WordPress та Joomla . І, мабуть, більше. Ви повинні побачити більше заблокованих входів. Якщо ви цього не зробите, можливо, щось не так.

Але майте на увазі, блокування IP-адрес не допомагає проти ботової мережі з більш ніж 90 000 IP-адрес.
І якщо ви робите це за плагін, уникайте Обмеження спроб входу . Він зберігає IP-адреси в серіалізованому варіанті, який повинен бути несеріалізований у кожному запиті. Це дуже дорого і повільно.
Знайдіть плагін, який використовує окрему таблицю бази даних або заблокуйте IP-адреси у вашому .htaccess таким чином:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Дивись також:

Кодекс: Атаки грубої сили
Захист входу за допомогою .htaccess від Ipstenu (Mika Epstein)
Спеціальні правила WordPress ModSecurity від рідкої мережі
Захист від нападів грубої сили WordPress за допомогою блогу Sucuri, також: масові напади грубої сили WordPress? - Міф чи реальність із цікавими статистичними деталями
Як захистити паролем файл wp-login.php від HostGator

Наші безпеки тегів також варто переглянути, особливо:

Якщо ви перемістилися wp-adminабо про ваші wp-login.phpці URL-адреси все ще можна здогадатися, додавши /loginабо /adminдо основної URL-адреси. WordPress перенаправить ці запити в потрібне місце.
Щоб зупинити таку поведінку, ви можете використовувати дуже простий плагін:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Я думаю, що це безпека через невідомість - нічого серйозного.

— фуксія
джерело

У мене є численні сайти, які за кілька днів отримують тисячі, це повністю автоматизовано

— Tom J Nowell

Ми також бачили помітний підхід у блокуваннях на наших сайтах WordPress, приєднуйтесь до клубу @Minapoli.

— Ендрю Бартель

Я використовую і люблю обмежувати спроби входу, але в цьому випадку це не допоможе повністю, оскільки ботнет виявляється достатньо кмітливим лише для того, щоб спробувати кілька спроб з будь-якою IP-адресою. Таким чином, він ефективно обходить блокування блоку доступу через IP, що відбувається за допомогою повторних відмов входу.

— Чіп Беннетт

@Chip Bennett, схоже, на наших сайтах намагаються лише "aaa", "administrator" та "admin", чи бачите ви, що інші імена користувачів націлені?

— Ендрю Бартель

@RRikesh Не впевнений. Зазвичай siteurl/loginпереспрямовується на правильну сторінку входу.

— фуксія

На додаток до ресурсів toscho, зазначених у його відповіді, ви також можете використовувати базову HTTP-аутентифікацію PHP для захисту паролем wp-адміністратора та wp-login.php для блокування доступу до wp-login.php.

Щойно я випустив плагін, який робить це для вас разом із блокуванням запитів No-Referrer. (Блок No-Refrrer в даний час не працює для сайтів, встановлених у підкаталозі).

— Chris_O
джерело

Зауважте, що буде заблоковано користувачів із запуском PHP за (швидким) CGI.

— фуксія

Дякую за це! Він працює на PHP-FPM, але після пошуку я бачу, що він не працюватиме, коли php працює CGI / SuExec, мені доведеться зробити швидке оновлення, щоб відключити плагін у цьому середовищі.

— Chris_O

Ви можете захистити свого адміністратора WordPress наступними методами.

Додайте цифри, спеціальні символи та алфавіти у свій пароль адміністратора, після чого введіть надійний пароль
Якщо у вашій базі даних більше записів, це сповільнить ваші веб-сайти. Тож цього можна уникнути, додавши зображення-капчу на свою wp-admin сторінку. Для цього доступні деякі плагіни. Як і https://wordpress.org/plugins/wp-limit-login-attempts/

— Аршид К.К.
джерело