Яко налазване на wp-login

R

rombeca

Active Member
От известно време явно е "модно" или е излязъл някакъв брут форс бот, който ми генерира хиляди опити за вход.
Резултата е, че надхвърлих процесорното време на хоста. Това беше преди 10-тина дена.
Какво направих: Баннах половин Индия, една купчина ботове и още няколко ИП-та чрез htaccess, сложих Limit Login Atempts плъгина и нещата позамряха.

Тая сутрин, при всичките ми сайтове при опит за логин ми дава грешка 403. Явно от хоста са решили въпроса "Сталински".

Няма wp-login - няма проблем.

Та има ли някакъв друг метод за справяне с тоя проблем?

Защото сега май ще трябва да банна и половин Бразилия (ИП-тата са от там).
 
От: Яко налазване на wp-login

Ми смени си wp-login на блабл23аааа2$% например и няма да имаш грижи :) Най-лесно можеш да го направиш с плъгин - "better wp security"
 
От: Яко налазване на wp-login

copypaster каза:
Ми смени си wp-login на блабл23аааа2$% например и няма да имаш грижи :) Най-лесно можеш да го направиш с плъгин - "better wp security"
Увеличете...

Това е вариант, може би ще го пробвам.. след като ме пуснат от хоста в собствените ми сайтове де.

Ама мисля, че ще ми прецака друго нещо.
 
От: Яко налазване на wp-login

И аз вчера имах малка атакичка на 2 уъррдпреса :) Тия гъзета ще ни карат да имаме всяка седмица бек и на файлове и на база...няма начин.
Тествай с тоя плъгин - готин е. Можеш да си смениш перфикса, логина, юзера-админ, даже джаджи като време за логване, блок на 404 заявки и секви други глезотии. Да чукна на куха репа от как съм с него нямам ядове никакви, освен че малко е по-тежичък като пуснеш 404 лога
 
От: Яко налазване на wp-login

Стефанов, секюритито също има лимит на логини по групи даже, ама да се смени изцяло wp-login.php е по-добър вариант
 
От: Яко налазване на wp-login

r.stefanov каза:
http://wordpress.org/extend/plugins/limit-login-attempts/ :wink:
Увеличете...

Това съм го сложил.

Поне ме пуснаха вече да си влезна в админ панела.... и сега ще ръчкам.
Имам разни плъгини, които имат права да пишат, и не знам ако ренеймна wp-login файла дали няма да се бъгнат.
 
От: Яко налазване на wp-login

rombeca каза:
Това съм го сложил.

Поне ме пуснаха вече да си влезна в админ панела.... и сега ще ръчкам.
Имам разни плъгини, които имат права да пишат, и не знам ако ренеймна wp-login файла дали няма да се бъгнат.
Увеличете...

Не го преименувай файла, просто си инсталирай Better WP Security plug-ина както ти каза колегата по-горе и си орави всичките му настройки. Той ти дава опция да преименуваш wp-admin, wp-login.php, wp-content и т.н. Като си сложиш и лимитите на брой логини (пак от него) и нещата ще заспят. Да не забравиш да отрежеш Индия, Пакистан и комшиите им от достъп до сайта ;)
 
От: Яко налазване на wp-login

<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from x.x.x.x
</Files>

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<Limit GET>
Order Deny,Allow
Deny from all
Allow from x.x.x.x
</Limit>

AuthUserFile /path/to/your/htpasswd
AuthType basic
AuthName "Restricted Resource"
require valid-user# This is the whitelisting of the ajax handler
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

/wp-admin/css/install.css

Код: 
$HTTP["url"] =~ "^\/wp-admin\/.*" {
    $HTTP["url"] !~ "^\/wp-admin\/(admin-ajax\.php|css\/.*)" {
        auth.require = (
            "" => (
                "method" => "basic",
                "realm" => "Password protected area",
                "require" => "user=theuser",
            ),
        ),
    },
},
 
От: Яко налазване на wp-login

r.stefanov каза:
Просто защити с htaccess и htpasswd wp-login и ajax handler-a. Добавките са излишни.
Увеличете...

За някои от сайтовете е неприложимо, мислил съм го.

Сега разцъквам Better Wp Security да видим как ще е :).
 
От: Яко налазване на wp-login

И аз имам сайт на 11 дена и от няколко дена всяка вечер правят опити да ме брутфорснат... Добре,че съм с better wp security още от самото начало :D .
Малко се притесних в началото, но явно е обичайно явление...
 
От: Яко налазване на wp-login

Мисля, че се оправих засега с този плъгин, плюс къстъм бан по Ип на индийците. И от хоста съдействаха.
Ще видим след ден-два как ще е.
 
От: Яко налазване на wp-login

Може да изплолзваш и този инструмент да си генерираш рулове за блокиране за която държава ти трябва.
 
От: Яко налазване на wp-login

Те мамата си тракат. Мен преди време ме бяха налазили от Тайланд и Камбоджа...
 
От: Яко налазване на wp-login

То май накрая ще стане:

allow form US, UK, Canada, Бели държави
deny from all
 
От: Яко налазване на wp-login

Отдавна ползвам BwpS.
Доста добра работа върши.
Задължително, входа към админ панела се променя на каквото ти хрумне.
Ако при инсталацията си задал юзер админ - също го промени.
Id на админ юзера не е добре да е 1.
префикса също го смени да не е wp.
Отделно задай на плъгина бан за всеки който търси wp-admin или login.php
Имаше 1 бг инструмент ама не помня кой - сканира и ти казва всички неща
по които ти познава сайта че е wp.
Това правят и ботовете и почват да търсят експлойти за версията или плъгините които видят
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе