Aumento dei tentativi di accesso non riusciti, attacchi di forza bruta? [chiuso]

Chiuso. Questa domanda è fuori tema . Al momento non accetta risposte.

Vuoi migliorare questa domanda? Aggiorna la domanda in modo che sia in argomento per lo scambio di stack di sviluppo di WordPress.

Chiuso 4 anni fa .

Ho installato il plug-in Simple Login Lockdown e da un paio di giorni fa il database registra oltre 200 record al giorno.

Penso che non sia possibile avere il mio sito attaccato da così tanti IP

Pensi che ci sia qualcosa di sbagliato?

— Minapoli
fonte

Sicuro è possibile. Conosci quelle persone che fanno clic su tutto senza prestare davvero attenzione a ciò su cui stanno facendo clic? Dai la colpa a loro.

— s_ha_dum,

Ragazzi, sapete come autorizzare me stesso? Ho verificato questo plug-in alla situazione in cui ricevo quanto segue: "Accesso negato. Il tuo indirizzo IP [My IP] è nella lista nera. Se ritieni che sia un errore, contatta il dipartimento di abuso del tuo provider di hosting." Il readme dice qualcosa ma non so come applicare correttamente le modifiche e dove. Quale file modificare?

— Boris_yo,

Risposte:

Al momento è attiva una botnet che attacca i siti WordPress e Joomla . E probabilmente di più. Si dovrebbe vedere i login più bloccati. In caso contrario, probabilmente c'è qualcosa che non va.

Ma attenzione, il blocco degli indirizzi IP non aiuta contro una rete bot con oltre 90.000 indirizzi IP.
E se lo fai per plug-in, evita i tentativi di accesso limitati . Memorizza gli IP in un'opzione serializzata che deve essere non serializzata su ogni richiesta. Questo è molto costoso e lento.
Trova un plug-in che utilizza una tabella di database separata o blocca gli indirizzi IP nel tuo .htaccess in questo modo:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Guarda anche:

Codice: attacchi di forza bruta
Protezione dell'accesso con .htaccess di Ipstenu (Mika Epstein)
Regole personalizzate di sicurezza Mod di WordPress di Liquid Web
Protezione dagli attacchi di forza bruta di WordPress di Sucuri Blog, anche: Attacchi di forza bruta di WordPress di massa? - Mito o realtà con interessanti dettagli statistici
Come proteggere con password il file wp-login.php di HostGator

Anche la sicurezza dei nostri tag merita una visita, in particolare:

Se ti sei spostato wp-admino wp-login.phpquesti URL possono ancora essere indovinati aggiungendo /logino /adminall'URL principale. WordPress reindirizzerà queste richieste nella posizione corretta.
Per interrompere questo comportamento puoi usare un plugin molto semplice:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Penso che questa sia sicurezza per oscurità - niente di grave.

— fuxia
fonte

Ho numerosi siti che ne ottengono migliaia in alcuni giorni, è completamente automatizzato

— Tom J Nowell

Abbiamo visto un marcato aumento nei blocchi anche sui nostri siti WordPress, unisciti al club @Minapoli.

— Andrew Bartel,

Uso e adoro i tentativi di accesso con limite, ma in questo caso non sarà del tutto utile, poiché la botnet sembra essere abbastanza esperta solo da provare una manciata di tentativi con un determinato indirizzo IP. Pertanto, ignora efficacemente il blocco per-IP attivato da ripetuti errori di accesso.

— Chip Bennett,

@Chip Bennett sembra che stia solo provando "aaa", "amministratore" e "admin" sui nostri siti, vedi qualche altro nome utente preso di mira?

— Andrew Bartel,

@RRikesh Non sono sicuro. Di solito siteurl/loginreindirizza alla pagina di accesso corretta.

— fuxia

Oltre alle risorse presenti nella sua risposta, puoi anche utilizzare l'autenticazione HTTP di base di PHP per proteggere con password wp-admin e o wp-login.php per bloccare l'accesso a wp-login.php.

Ho appena rilasciato un plug-in che fa questo insieme a te bloccando le richieste senza referrer. (Il blocco No-Refrrer attualmente non funziona per i siti installati in una sottodirectory).

— Chris_O
fonte

Nota che bloccherà gli utenti con PHP in esecuzione per (Fast-) CGI.

— fuxia

Grazie per quello! Funziona su PHP-FPM ma dopo la ricerca vedo che non funzionerà quando php sta eseguendo CGI / SuExec dovrò fare un rapido aggiornamento per disattivare il plugin in quell'ambiente.

— Chris_O,

Puoi proteggere il tuo amministratore di WordPress seguendo i seguenti metodi.

Aggiungi numeri, caratteri speciali e alfabeti nella tua password di amministratore, quindi crea una password sicura
Se hai più record nel tuo database, questo rallenterà i tuoi siti web. Quindi può essere evitato aggiungendo captcha di immagini nella tua pagina wp-admin. Alcuni plugin sono disponibili per questo. Come https://wordpress.org/plugins/wp-limit-login-attempts/

— Arshid KK
fonte