Aumento de tentativas falhas de login, ataques de força bruta? [fechadas]

Fechadas. Esta questão está fora de tópico . No momento, não está aceitando respostas.

Deseja melhorar esta pergunta? Atualize a pergunta para que ela esteja no tópico do WordPress Development Stack Exchange.

Fechado há 4 anos .

Eu instalei o plugin Simple Login Lockdown e, há alguns dias, o banco de dados está gravando mais de 200 registros por dia.

Eu acho que não é possível ter meu site atacado por tantos IPs

Você acha que há algo errado?

— Minapoli
fonte

Claro que é possível. Você conhece aquelas pessoas que clicam em tudo sem prestar muita atenção no que estão clicando? Culpe-os.

— s_ha_dum

Vocês sabem como me colocar na lista de permissões? Testei demais este plug-in na situação em que recebo o seguinte: "Acesso negado. Seu endereço IP [Meu IP] está na lista negra. Se você acha que isso está errado, entre em contato com o departamento de abuso dos provedores de hospedagem". O leia-me diz alguma coisa, mas não sei como aplicar corretamente as modificações e onde. Qual arquivo editar?

— Boris_yo

Respostas:

Atualmente, existe uma botnet ativa, atacando sites WordPress e Joomla . E provavelmente mais. Você deve ver mais logins bloqueados. Caso contrário, provavelmente há algo errado.

Mas lembre-se, o bloqueio de endereços IP não ajuda contra uma rede de bots com mais de 90.000 endereços IP.
E se você fizer isso por plug-in, evite Limitar tentativas de login . Ele armazena os IPs em uma opção serializada que precisa ser desserializada em cada solicitação. Isso é muito caro e lento.
Encontre um plug-in que use uma tabela de banco de dados separada ou bloqueie os endereços IP no seu .htaccess assim:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Veja também:

Codex: Ataques de Força Bruta
Proteção de login com .htaccess por Ipstenu (Mika Epstein)
Regras personalizadas do WordPress ModSecurity da Liquid Web
Protegendo contra ataques de força bruta do WordPress por Sucuri Blog, também: Mass ataques de força bruta do WordPress? - Mito ou Realidade com detalhes estatísticos interessantes
Como proteger com senha o arquivo wp-login.php por HostGator

Também vale a pena dar uma olhada em nossa segurança de tags , especialmente:

Se você se mudou wp-adminou seus wp-login.phpURLs ainda podem ser adivinhados anexando /loginou /adminao URL principal. O WordPress redirecionará essas solicitações para o local correto.
Para interromper esse comportamento, você pode usar um plugin muito simples:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Eu acho que isso é segurança pela obscuridade - nada sério.

— fuxia
fonte

Eu tenho vários sites que recebem milhares em alguns dias, é totalmente automatizado

— Tom J Nowell

Também vimos um aumento acentuado nos bloqueios em nossos sites WordPress, entre no clube @Minapoli.

— Andrew Bartel

Eu uso e adoro Limitar tentativas de login, mas, neste caso, não ajudará inteiramente, porque a botnet parece ser experiente o suficiente apenas para tentar algumas tentativas com um determinado endereço IP. Portanto, ele efetivamente ignora o bloqueio por IP ativado por repetidas falhas de login.

— Chip Bennett

@Chip Bennett, parece que ele está apenas tentando 'aaa', 'administrator' e 'admin' em nossos sites, você vê outros nomes de usuários direcionados?

— Andrew Bartel

@RRikesh Não tenho certeza. Geralmente siteurl/loginredireciona para a página de login correta.

— fuxia

Além dos recursos listados em sua resposta, você também pode usar a autenticação HTTP básica do PHP para proteger com senha o wp-admin e ou wp-login.php para bloquear o acesso ao wp-login.php.

Acabei de lançar um plug-in que faz isso por você, além de bloquear solicitações de não referência. (O bloco No-Refrrer atualmente não funciona para sites instalados em um subdiretório).

— Chris_O
fonte

Observe que bloqueará os usuários com o PHP em execução por CGI (rápido).

— fuxia

Obrigado por isso! Ele funciona no PHP-FPM, mas após a pesquisa, vejo que não funcionará quando o php estiver executando o CGI / SuExec. Vou fazer uma atualização rápida para desativar o plug-in nesse ambiente.

— Chris_O

Você pode proteger seu administrador do WordPress seguindo os métodos.

Adicione números, caracteres especiais e alfabetos em sua senha de administrador e crie uma senha forte
Se você tiver mais registros em seu banco de dados, isso diminuirá a velocidade dos seus sites. Portanto, pode ser evitado adicionando captcha de imagem na sua página wp-admin. Alguns plugins estão disponíveis para isso. Como https://wordpress.org/plugins/wp-limit-login-attempts/

— Arshid KK
fonte