Wzrost nieudanych prób logowania, ataki siłowe? [Zamknięte]

Zamknięte. To pytanie jest nie na temat . Obecnie nie przyjmuje odpowiedzi.

Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby było tematyczne na WordPress Development Stack Exchange.

Zamknięte 4 lata temu .

Zainstalowałem wtyczkę Simple Login Lockdown i od kilku dni baza danych rejestruje ponad 200 rekordów dziennie.

Myślę, że nie jest możliwe, aby moja strona została zaatakowana przez tak wiele adresów IP

Myślisz, że coś jest nie tak?

Pewnie, że to możliwe. Znasz tych ludzi, którzy klikają na wszystko, nie zwracając uwagi na to, co klikają? Obwiniaj ich.

s_ha_dum

Czy wiecie, jak sami mogę dodać do białej listy? Przetestowałem tę wtyczkę do sytuacji, w której otrzymuję: „Odmowa dostępu. Twój adres IP [Moje IP] jest na czarnej liście. Jeśli uważasz, że to pomyłka, skontaktuj się z działem nadużyć dostawców usług hostingowych”. Plik Readme mówi coś, ale nie wiem, jak poprawnie zastosować zmiany i gdzie. Który plik do edycji?

Boris_yo 18.04.13

Odpowiedzi:

Obecnie istnieje aktywny botnet atakujący witryny WordPress i Joomla . I prawdopodobnie więcej. Państwo powinno zobacz więcej zablokowanych logowania. Jeśli nie, prawdopodobnie coś jest nie tak.

Pamiętaj jednak, że blokowanie adresów IP nie pomaga w walce z botami z ponad 90 000 adresów IP.
A jeśli zrobisz to dla każdej wtyczki, unikaj limitów prób logowania . Przechowuje adresy IP w postaci szeregowej, która musi być niezserializowana przy każdym żądaniu. To jest bardzo drogie i wolne.
Znajdź wtyczkę, która używa osobnej tabeli bazy danych lub zablokuj adresy IP w twoim .htaccess w następujący sposób:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Zobacz też:

Codex: Brute Force Attacks
Ochrona logowania za pomocą .htaccess autor: Ipstenu (Mika Epstein)
Niestandardowe reguły WordPress ModSecurity firmy Liquid Web
Ochrona przed atakami WordPress Brute-Force autorstwa Sucuri Blog, a także: Masowe ataki WordPress Brute Force? - Mit lub rzeczywistość z interesującymi szczegółami statystycznymi
Jak zabezpieczyć hasłem plik wp-login.php przez HostGator

Warto również zapoznać się z bezpieczeństwem naszych tagów , zwłaszcza:

Jeśli przeprowadziłeś się wp-adminlub wp-login.phpte adresy URL nadal można odgadnąć, dodając /loginlub /admindo głównego adresu URL. WordPress przekieruje te żądania do właściwej lokalizacji.
Aby zatrzymać to zachowanie, możesz użyć bardzo prostej wtyczki:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Myślę, że jest to bezpieczeństwo przez zaciemnienie - nic poważnego.

fuxia
źródło

Mam wiele witryn, które w niektóre dni otrzymują tysiące, jest całkowicie zautomatyzowane

Tom J Nowell

Zauważyliśmy również znaczny wzrost blokad na naszych stronach WordPress, dołącz do klubu @Minapoli.

Andrew Bartel,

Używam i uwielbiam Próby logowania z limitem, ale w tym przypadku nie pomoże to całkowicie, ponieważ botnet wydaje się być wystarczająco bystry, aby spróbować kilku prób z dowolnym adresem IP. Tak więc skutecznie omija blokadę na IP zaangażowaną przez powtarzające się błędy logowania.

Chip Bennett

@Chip Bennett, wydaje się, że próbuje tylko „aaa”, „administrator” i „admin” na naszych stronach. Czy widzisz, że inne nazwy użytkowników są celem?

Andrew Bartel,

@RRikesh Nie jestem pewien. Zwykle siteurl/loginprzekierowuje na właściwą stronę logowania.

fuxia

Oprócz zasobów toscho wymienionych w jego odpowiedzi można także użyć podstawowego uwierzytelniania HTTP PHP do ochrony hasła wp-admin i wp-login.php w celu zablokowania dostępu do wp-login.php.

Właśnie wydałem wtyczkę, która robi to za Ciebie wraz z blokowaniem żądań braku polecającego. (Blok No-Refrrer obecnie nie działa dla witryn zainstalowanych w podkatalogu).

Chris_O
źródło

Zauważ, że zablokuje użytkowników z PHP działającym według (szybkiego) CGI.

fuxia

Dziękuję za to! Działa na PHP-FPM, ale po przeszukaniu widzę, że nie będzie działać, gdy php uruchomi CGI / SuExec. Będę musiał dokonać szybkiej aktualizacji, aby dezaktywować wtyczkę w tym środowisku.

Chris_O

Możesz chronić swojego administratora WordPress, postępując zgodnie z następującymi metodami.

Dodaj cyfry, znaki specjalne i alfabety do hasła administratora, a następnie utwórz silne hasło
Jeśli masz więcej wpisów w bazie danych, spowoduje to spowolnienie twoich witryn. Można tego uniknąć, dodając captcha obrazu na stronie wp-admin. Niektóre wtyczki są do tego dostępne. Jak https://wordpress.org/plugins/wp-limit-login-attempts/

Arshid KK
źródło