Яко налазване на wp-login

От: Яко налазване на wp-login

Отдавна ползвам BwpS.
Доста добра работа върши.
Задължително, входа към админ панела се променя на каквото ти хрумне.
Ако при инсталацията си задал юзер админ - също го промени.
Id на админ юзера не е добре да е 1.
префикса също го смени да не е wp.
Отделно задай на плъгина бан за всеки който търси wp-admin или login.php
Имаше 1 бг инструмент ама не помня кой - сканира и ти казва всички неща
по които ти познава сайта че е wp.
Това правят и ботовете и почват да търсят експлойти за версията или плъгините които видят


А няма ли вариант с хатчес файла да се баннват всички ИП с изключение на само на моето...но само за файла логин и админ...или цялата папка админ.
 
От: Яко налазване на wp-login

По-горе @rstefanov е показал как да се защити логина с парола. Това е достатъчно.
 
От: Яко налазване на wp-login

Е те повечето са ботове и кухи хралупи :D

Забравих да спонена да не пускате блок на 404, пускате само лог и статистика, че ще блокнете сума народ ако не са ви баш у ред нещата (каквито и всъщност са ни на повечето :D )
 
От: Яко налазване на wp-login

Мен от няколко дни ме е набарал някакъв ботнет и ти да видиш какво става :lol: Та ме карат да слагам fail2ban, а грам не ми се занимава в тая жега :D

Всичките са "POST /wp-login.php HTTP/1.0" 403

http://rstefanov.org/banlist.txt
 
От: Яко налазване на wp-login

Тази атака започна от преди около малко повече от месец и периодично се повтаря или поне при мен беше така. Вариант-а с плугин-а не смятам, че е много надежден, понеже реално все пак прави някакви заявки и проверки, което също товари. Именно по тази причина най-добрият вариант е да се блокира достъпа до wp-login.php и вместо да се изпълняват допълнително скриптове, бота да бъде изрязан още в началото.

@r.stefanov е дал примерен код за блокиране през .htaccess

Единственото, което при мен не беше добре е, че се налага достъп до панел-а да имат различни хора от различни места, което ме ограничаваше да разреша достъп-а само на определени IP адреси... Обаче благодарение на факт-а, че атаките са основно през чужди публични проксита, решението беше да разреша достъп-а до wp-login.php само на потребителите от България и да забраня достъп-а на всички останали IP адреси. Това можете да го направите, като комбинирате код-а на @r.stefanov и си генерирате списъка с IP адреси от България през сайт-а който сподели @SoulReaver, а за по-мързеливите ( като мен ) предлагам и направо готов код, който съм прикачил към публикацията ми по темата:

http://problogging.eu/защитете-своят-wordpress-от-brute-force-атаки-към-wp-admin.html
 
От: Яко налазване на wp-login

Тази атака започна от преди около малко повече от месец и периодично се повтаря или поне при мен беше така. Вариант-а с плугин-а не смятам, че е много надежден, понеже реално все пак прави някакви заявки и проверки, което също товари. Именно по тази причина най-добрият вариант е да се блокира достъпа до wp-login.php и вместо да се изпълняват допълнително скриптове, бота да бъде изрязан още в началото.

@r.stefanov е дал примерен код за блокиране през .htaccess

Единственото, което при мен не беше добре е, че се налага достъп до панел-а да имат различни хора от различни места, което ме ограничаваше да разреша достъп-а само на определени IP адреси... Обаче благодарение на факт-а, че атаките са основно през чужди публични проксита, решението беше да разреша достъп-а до wp-login.php само на потребителите от България и да забраня достъп-а на всички останали IP адреси. Това можете да го направите, като комбинирате код-а на @r.stefanov и си генерирате списъка с IP адреси от България през сайт-а който сподели @SoulReaver, а за по-мързеливите ( като мен ) предлагам и направо готов код, който съм прикачил към публикацията ми по темата:

http://problogging.eu/защитете-своят-wordpress-от-brute-force-атаки-към-wp-admin.html

То е стара информация тази прословута атака на wp-login, това е просто ботнет сканиращ за WP. Тъй като сменях тестовия сървър и явно новият е доста по-популярен, защото на другия нямаше грам движение в това отношение. Под грам разбирайте никакво :lol:

Аз до сега просто ги режех с deny:

Apache:

<Files wp-login.php>
order deny,allow
Deny from all

allow from xx.xxx.xx.xx

</Files>

Nginx:

location = /wp-login.php {deny all;}

Само че понеже не ми се занимава сега пуснах и fail2ban и всички автоматично ще влизат в iptables след да речем два опита. Настройката му е много лесна.

Има и други начини цък и цък2, но за мен fail2ban е най-ефективен и безгрижен.

Ето и какво се получава после в логовете:

tail /var/log/wp-login.log

Код:
Jun 19 13:15:09 ss8 wordpress(rstefanov.org)[9836]: Authentication failure for асдф from 1.1.1.1
Jun 19 13:15:12 ss8 wordpress(rstefanov.org)[9842]: Authentication failure for асдасфад from 1.1.1.1
Jun 19 13:15:15 ss8 wordpress(rstefanov.org)[9835]: Authentication failure for асдасфасд from 1.1.1.1
Jun 19 13:15:18 ss8 wordpress(rstefanov.org)[9825]: Authentication failure for асдасфад from 1.1.1.1
Jun 19 13:15:20 ss8 wordpress(rstefanov.org)[9830]: Authentication failure for асдасфад from 1.1.1.1
Jun 19 13:15:21 ss8 fail2ban.actions: WARNING [wp-login] Ban 1.1.1.1


iptables -L

Код:
Chain fail2ban-WP (1 references)
target     prot opt source               destination
DROP       all  --  1.1.1.1  anywhere
RETURN     all  --  anywhere             anywhere

Наистина интересен инструмент, но за съжаление неприложим за споделен хостинг :(

Това се слага в htaccess ако си на споделен хостинг. Заменяш xx с айпито. Тая глупост също не е лошо решение http://wordpress.org/plugins/limit-login-attempts/

Код:
<Files wp-login.php>
        order deny,allow
        Deny from all

allow from xx.xxx.xx.xx

</Files>
Има провайдъри, които са добавили fail2ban или csf като чат от услугите си и за споделените акаунти. Няма да давам имена.
 
Последно редактирано:
От: Яко налазване на wp-login

То е стара информация тази прословута атака на wp-login, това е просто ботнет сканиращ за WP. Тъй като сменях тестовия сървър и явно новият е доста по-популярен, защото на другия нямаше грам движение в това отношение. Под грам разбирайте никакво :lol:

Аз до сега просто ги режех с deny:

Apache:

<Files wp-login.php>
order deny,allow
Deny from all

allow from xx.xxx.xx.xx

</Files>

Nginx:

location = /wp-login.php {deny all;}

Само че понеже не ми се занимава сега пуснах и fail2ban и всички автоматично ще влизат в iptables след да речем два опита. Настройката му е много лесна.

Има и други начини цък и цък2, но за мен fail2ban е най-ефективен и безгрижен.

Наистина интересен инструмент, но за съжаление неприложим за споделен хостинг :(
 
От: Яко налазване на wp-login

Ето още малко списъци, не са пълни, но са полезни и силно препоръчвам тези от Южна Корея да ги блокирате всички..

Китай, Корея, Малайзия, Индонезия и др.

Южна Америка

Нигерия и други Африкански 'злоупотребяващи'

IP-та на злоупотребяващи и източници на ботове

Ако искате, можете да изтеглите направо нашата таблица, която съдържа всички горни + около 300-400 IP-та, които ние сме блокирали при засичане на брут-форс или сканиращи ботове..

Iptables Таблица

Просто въвеждате таблицата с командата iptables-restore < /path/to/iptables.rules.txt
 
Последно редактирано:

Горе