Brute force атаки към WordPress сайт

TheCrazyBastard каза:
С една проста команда в CMD-то може да се свалят всички потребителски имена от WP сайт, дори такива, които май не са публикували нищо. Един приятел ми го демонстрира и за минута получи целия ми списък с потребители, включително администраторите. Това се слага в листата за брутфорс и те така.
Увеличете...
Ако беше толкова просто нямаше да пробват хиляди пъти с admin или с името на сайта ... дай тая команда да видим дали ще ми даде списък на някой сайт.
 
BurnX каза:
Ако беше толкова просто нямаше да пробват хиляди пъти с admin или с името на сайта ... дай тая команда да видим дали ще ми даде списък на някой сайт.
Увеличете...
Е, аз нямаше да го споменавам, ако не бях се убедил с очите си в това. Също така някъде си пазя вероятно и скрийншотове, но умишлено няма да дам подобно нещо в публичното пространство. WP е отворена система и който е чел достатъчно кодекса й, вероятно може да потвърди това.
 
TheCrazyBastard каза:
P.S. При мен пробват с всички потребителски имена при определени сайтове, наблюдавам ги - не както казваш ти само с admin или 2-3 други, т.е. виждам че при мен пробват с имена, които даже съм сигурен, че са регистрирани преди години само за проба, когато създавах даден сайт и знам, че никога не са влизали повече и не са публикували каквото и да е (мои акаунти и на приятели, колеги за тест дали работи), но имам и към този момент брутфорс атаки и от техните имена. Мисълта ми е, че при явно даден софтуер, който вероятно е платен, тази малка допълнителна екстра е добавена.
Увеличете...
 
BurnX каза:
Ако беше толкова просто нямаше да пробват хиляди пъти с admin или с името на сайта ... дай тая команда да видим дали ще ми даде списък на някой сайт.
Увеличете...
Код: 
wp user list
wp-user-list.jpg
Друг е въпроса, че ако въпросният хакер може да изпълни това, то той отдавана е овладял акаунта/сървъра

Трети въпрос е, че не си забранявате авторските архиви и user enumeration и от там не е никакъв проблем да се скрейпнат потребителите, тъй като хората ги мързи и в 99% от случаите user_login = display_name.

При една нормална конфигурация, каквато си правя аз на 2-я опит за user enumeration автоматично се банира IP-то за известен период.
 
Така е, това се слага в .htaccess файла :)

# Disable user enumaration
RewriteCond %{REQUEST_URI} !^/wp-admin [NC]
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

Но аз я ползвам тази функция да линкна собствените статии на различните автори в страничната лента за тяхно удобство и кой знае още къде в темата, забравил съм. Затова и се получава извличането на всички потребители по ID номера. Това дали си се логнал или не няма значение за който и да е WP сайт.
 
BurnX каза:
Ако беше толкова просто нямаше да пробват хиляди пъти с admin или с името на сайта ... дай тая команда да видим дали ще ми даде списък на някой сайт.
Увеличете...
Виж това: https://wpscan.org/ :)
Свалянето на потребители е лесно. Тежката част е със lordlista където се търсят паролите...
 
mobilio каза:
Може би през XML-RPC? Или през REST-API?

https://blog.delta.bg/wordpress-zashtita-ot-ataki-za-razpoznavane-na-paroli/

Накратко използването на плъгини не е добра идея защото натоварва повече сайта.
Увеличете...

Направих стъпките описани във вашия блог. Имам няколко въпроса към тях:
Поставям следния код в хтакцес файла:
Код: 
<FilesMatch “wp-login.php”>
AuthType Basic
AuthName “Admin Area”
AuthUserFile “/home/път/към/.htpasswd/файла/.htpasswd”
require valid-user

</FilesMatch>
Но не работи! Пътя е точен!
Махам <FilesMatch>
Става следното:
Код: 
AuthType Basic
AuthName “Admin Area”
AuthUserFile “/home/път/към/.htpasswd/файла/.htpasswd”
require valid-user
Така работи, но заключва всучко, целия сайт, не само файла. Как да му задам да заключи само файла.

Редиректвам xmlrpc.php файла. При опит да го отворя вади Упс, грешка! 404 Така добре ли е?

Слагам:
Код: 
RewriteCond %{REQUEST_METHOD} ^(GET|POST|PUT|PATCH|DELETE) [NC]
RewriteCond %{REQUEST_URI} ^.*wp-json/ [NC]
RewriteRule ^(.*)$ – [F]
При опит да го отвиря в браузера вади някакви кодове и информация за сайта.
 
Другият ми въпрос е защо .htpasswd файла трябва да е извън public_html директорията? В момента е в нея. Да го местя ли по-нагоре?

Преди седмица го хакнаха и го заключиха с пароли целия. Други пролуки има ли, които трябва да запуша освен тези трите, за да не проникват ботове и хакери?
 
Единият плъгин за сигурност при сканирането ми вади 70 потенциално зловредни файла. Бекдур, троянци и други маулуеър, които открива във файловете на плъгините, които покзвам. Примерно ми показва че в няколко файла на плъгина LightBox Gallery има потенциално опасни файлове. Също намира и в Google Maps плъгина. Какво да правя с тях? Да пренебрегна ли тези предупреждения или да изключа плъгините и да ги махна? Ако в някой от тях има наистина зловреден софтуер, какъв е смисъла да правя защити? Да спирам да влезнат, като те са вече вътре. И след даден ъпдейт и ми наспамва сайта с адулт връзки. Последно го бяха размазали, излизаше на японски в резултатите на Гугъл.
 
За първото. Я виж кавичките - трябва да са "".

За xmlrpc.php - дай линк да видя.

Третото - трябва да го видя също.

Кодовете са експериментирани на няколко сайта преди да бъдат сложени. Подозирам че се сбиват със нещо друго от твоя .htaccess. Ако за първото подозирам, че са кавичките за останалите съм безидеен.
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе