Meningkatkan upaya login yang gagal, serangan brute force? [Tutup]

Tutup. Pertanyaan ini di luar topik . Saat ini tidak menerima jawaban.

Ingin meningkatkan pertanyaan ini? Perbarui pertanyaan sehingga sesuai topik untuk WordPress Development Stack Exchange.

Ditutup 4 tahun yang lalu .

Saya menginstal plugin Simple Login Lockdown dan sejak beberapa hari yang lalu database merekam lebih dari 200 catatan per hari.

Saya pikir itu tidak mungkin untuk memiliki situs saya diserang oleh begitu banyak IP

Apakah Anda pikir ada sesuatu yang salah?

Tentu itu mungkin. Anda tahu orang-orang yang mengklik semuanya tanpa benar-benar memperhatikan apa yang mereka klik? Salahkan mereka.

s_ha_dum

Apakah kalian tahu cara membuat daftar putih sendiri? Saya telah menguji ulang plugin ini dengan situasi di mana saya mendapatkan yang berikut: "Akses ditolak. Alamat IP Anda [My IP] dimasukkan dalam daftar hitam. Jika Anda merasa ini salah, silakan hubungi departemen penyalahgunaan penyedia hosting Anda." Readme memberi tahu sesuatu tetapi saya tidak tahu cara menerapkan modifikasi dengan benar dan di mana. File mana yang akan diedit?

Boris_yo

Jawaban:

Saat ini ada botnet aktif, menyerang situs WordPress dan Joomla . Dan mungkin lebih. Anda akan melihat lebih banyak login yang diblokir. Jika tidak, mungkin ada sesuatu yang salah.

Tetapi berhati-hatilah, memblokir alamat IP tidak membantu melawan bot net dengan lebih dari 90.000 alamat IP.
Dan jika Anda melakukannya per plugin, hindari Batasi Upaya Login . Ia menyimpan IP dalam opsi berseri yang harus diunialisasi pada setiap permintaan. Ini sangat mahal dan lambat.
Temukan plugin yang menggunakan tabel database terpisah atau blokir alamat IP di .htaccess Anda seperti ini:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Lihat juga:

Codex: Serangan Brute Force
Perlindungan Login Dengan .htaccess oleh Ipstenu (Mika Epstein)
Aturan ModSecurity WordPress Kustom oleh Liquid Web
Melindungi Terhadap Serangan Brute-Force WordPress oleh Sucuri Blog, juga: Mass Wordpress Brute Force Attacks? - Mitos atau Realita dengan detail statistik menarik
Cara Melindungi Kata Sandi File wp-login.php oleh HostGator

Keamanan tag kami juga patut dilihat, terutama:

Jika Anda telah pindah wp-adminatau wp-login.phpURL Anda ini masih dapat ditebak dengan menambahkan /loginatau /adminke URL utama. WordPress akan mengarahkan permintaan ini ke lokasi yang benar.
Untuk menghentikan perilaku itu, Anda dapat menggunakan plugin yang sangat sederhana:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Saya pikir ini adalah keamanan oleh ketidakjelasan - tidak ada yang serius.

fuxia
sumber

Saya memiliki banyak situs yang mendapatkan ribuan pada beberapa hari, sepenuhnya otomatis

Tom J Nowell

Kami telah melihat uptick ditandai di lockout di situs WordPress kami juga, bergabung dengan klub @minapoli.

Andrew Bartel

Saya menggunakan dan menyukai Upaya Batas Masuk, tetapi dalam kasus ini, itu tidak akan membantu sepenuhnya, karena botnet tampaknya cukup pintar hanya untuk mencoba beberapa upaya dengan alamat IP yang diberikan. Jadi, ini secara efektif mem-bypass penguncian per-IP yang dilakukan oleh kegagalan login berulang.

Chip Bennett

@Chip Bennett sepertinya hanya mencoba 'aaa', 'administrator' dan 'admin' di situs kami, apakah Anda melihatnya ada nama pengguna lain yang ditargetkan?

Andrew Bartel

@Rikik Tidak yakin. Biasanya siteurl/logindialihkan ke halaman login yang benar.

fuxia

Selain sumber daya toscho yang tercantum dalam jawabannya, Anda juga dapat menggunakan Otentikasi HTTP Dasar PHP untuk melindungi kata sandi wp-admin dan atau wp-login.php untuk memblokir akses ke wp-login.php.

Saya baru saja merilis sebuah plugin yang melakukan ini untuk Anda bersama dengan memblokir permintaan No-Referrer. (Blok No-Refrrer saat ini tidak berfungsi untuk situs yang diinstal dalam subdirektori).

Chris_O
sumber

Catatan yang akan mengunci pengguna dengan PHP yang menjalankan per (Cepat-) CGI.

fuxia

Terima kasih untuk itu! Ini bekerja pada PHP-FPM tetapi setelah mencari saya melihat itu tidak akan berfungsi ketika php menjalankan CGI / SuExec Saya harus membuat pembaruan cepat untuk menonaktifkan plugin di lingkungan itu.

Chris_O

Anda dapat melindungi admin WordPress Anda dengan metode berikut.

Tambahkan angka, karakter khusus dan huruf di kata sandi admin Anda kemudian buat kata sandi yang kuat
Jika Anda mendapat lebih banyak catatan di basis data Anda, ini akan memperlambat situs web Anda. Jadi bisa dihindari dengan menambahkan captcha gambar di halaman wp-admin Anda. Beberapa plugin tersedia untuk itu. Seperti https://wordpress.org/plugins/wp-limit-login-attempts/

Arshid KK
sumber