Tăng nỗ lực đăng nhập thất bại, tấn công vũ phu? [đóng cửa]

Đã đóng cửa. Câu hỏi này không đúng chủ đề . Nó hiện không chấp nhận câu trả lời.

Bạn muốn cải thiện câu hỏi này? Cập nhật câu hỏi để nó thuộc chủ đề cho Trao đổi ngăn xếp phát triển WordPress.

Đóng cửa 4 năm trước .

Tôi đã cài đặt plugin Khóa đăng nhập đơn giản và từ vài ngày trước, cơ sở dữ liệu đang ghi lại hơn 200 bản ghi theo ngày.

Tôi nghĩ rằng không thể có trang web của tôi bị tấn công bởi rất nhiều IP

Bạn có nghĩ rằng có điều gì đó sai?

— Minapoli
nguồn

Chắc chắn nó có thể. Bạn biết những người nhấp vào mọi thứ mà không thực sự chú ý đến những gì họ đang nhấp vào? Đổ lỗi cho họ.

— s_ha_dum

Các bạn có biết làm thế nào để danh sách trắng bản thân mình? Tôi đã vượt qua plugin này trong tình huống tôi gặp phải: "Truy cập bị từ chối. Địa chỉ IP của bạn [IP của tôi] bị liệt vào danh sách đen. Nếu bạn cảm thấy lỗi này, vui lòng liên hệ với bộ phận lạm dụng nhà cung cấp dịch vụ lưu trữ của bạn." Readme nói điều gì đó nhưng tôi không biết làm thế nào để áp dụng chính xác các sửa đổi và ở đâu. Tập tin nào để chỉnh sửa?

— Boris_yo

Câu trả lời:

Hiện tại có một botnet hoạt động, tấn công các trang web WordPress và Joomla . Và có lẽ nhiều hơn nữa. Bạn sẽ thấy nhiều thông tin đăng nhập bị chặn. Nếu bạn không, có lẽ có điều gì đó sai.

Nhưng hãy lưu ý, việc chặn các địa chỉ IP không giúp chống lại mạng bot với hơn 90.000 địa chỉ IP.
Và nếu bạn làm điều đó cho mỗi plugin, hãy tránh Hạn chế đăng nhập . Nó lưu trữ các IP trong một tùy chọn nối tiếp phải được hủy đăng ký theo từng yêu cầu. Điều này rất tốn kém và chậm.
Tìm một plugin sử dụng bảng cơ sở dữ liệu riêng biệt hoặc chặn các địa chỉ IP trong .htaccess của bạn như thế này:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Xem thêm:

Codex: Tấn công Brute Force
Bảo vệ đăng nhập với .htaccess của Ipstenu (Mika Epstein)
Các quy tắc bảo mật WordPress tùy chỉnh của Liquid Web
Bảo vệ chống lại các cuộc tấn công Brute-Force WordPress của Blog Sucuri, cũng: Tấn công Brute Force WordPress hàng loạt? - Huyền thoại hoặc hiện thực với các chi tiết thống kê thú vị
Cách mật khẩu Bảo vệ tệp wp-login.php của HostGator

Bảo mật thẻ của chúng tôi cũng đáng xem, đặc biệt:

Nếu bạn đã di chuyển wp-adminhoặc wp-login.phpnhững URL này vẫn có thể được đoán bằng cách nối thêm /loginhoặc /adminvào URL chính. WordPress sẽ chuyển hướng các yêu cầu này đến vị trí chính xác.
Để ngăn chặn hành vi đó, bạn có thể sử dụng một plugin rất đơn giản:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Tôi nghĩ rằng đây là bảo mật bởi sự tối nghĩa - không có gì nghiêm trọng.

— Fuxia
nguồn

Tôi có rất nhiều trang web nhận được hàng nghìn trang vào một số ngày, nó hoàn toàn tự động

— Tom J Nowell

Chúng tôi cũng đã thấy một sự gia tăng rõ rệt trong việc khóa trên các trang web WordPress của chúng tôi, tham gia câu lạc bộ @Minapoli.

— Andrew Bartel

Tôi sử dụng và yêu thích Thử giới hạn đăng nhập, nhưng trong trường hợp này, nó sẽ không hoàn toàn hữu ích, vì botnet dường như đủ hiểu biết chỉ để thử một số lần thử với bất kỳ địa chỉ IP cụ thể nào. Vì vậy, nó có hiệu quả bỏ qua việc khóa mỗi IP được thực hiện bằng các lỗi đăng nhập lặp lại.

— Chip Bennett

@Chip Bennett dường như chỉ đang thử 'aaa', 'quản trị viên' và 'quản trị viên' trên các trang web của chúng tôi, bạn có thấy tên người dùng nào khác đang được nhắm mục tiêu không?

— Andrew Bartel

@RRikesh Không chắc chắn. Thường siteurl/loginchuyển hướng đến trang đăng nhập chính xác.

— fuxia

Ngoài các tài nguyên toscho được liệt kê trong câu trả lời của anh ấy, bạn cũng có thể sử dụng Xác thực HTTP cơ bản của PHP để bảo vệ mật khẩu wp-admin và hoặc wp-login.php để chặn truy cập vào wp-login.php.

Tôi vừa phát hành một plugin thực hiện điều này cho bạn cùng với việc chặn các yêu cầu Không giới thiệu. (Hiện tại, khối No-RDER không hoạt động đối với các trang được cài đặt trong thư mục con).

— Chris_O
nguồn

Lưu ý rằng sẽ khóa người dùng với PHP chạy trên (Fast-) CGI.

— fuxia

Cảm ơn vì điều đó! Nó hoạt động trên PHP-FPM nhưng sau khi tìm kiếm tôi thấy nó sẽ không hoạt động khi php đang chạy CGI / SuExec Tôi sẽ phải cập nhật nhanh để tắt plugin trong môi trường đó.

— Chris_O

Bạn có thể bảo vệ quản trị viên WordPress của mình bằng các phương pháp sau.

Thêm số, ký tự đặc biệt và bảng chữ cái trong mật khẩu quản trị viên của bạn sau đó tạo mật khẩu mạnh
Nếu bạn có thêm hồ sơ trong cơ sở dữ liệu của bạn, điều này sẽ làm chậm trang web của bạn. Vì vậy, có thể tránh bằng cách thêm hình ảnh xác thực trong trang wp-admin của bạn. Một số plugin có sẵn cho nó. Giống như https://wordpress.org/plugins/wp-limit-login-attvor/

— KK Arshid
nguồn