Ботнет 10к+ на wp-login

Так ведь сайт все равно загружается, значит, нагрузка все равно повышенная. Ошибка, как я понимаю, должна снизить нагрузку, ведь отдается пустая страница (почти пустая)

так вызов php все равно идет, просто скрипт легче стал, по хорошему нужно вообще не допускать ботов до бэкенда.

Выдается крохотный текст без дизайна:

<html><head>

<title>404 Not Found</title>

</head><body>

<h1>Not Found</h1>

<p>The requested URL /wp-login.php was not found on this server.</p>

</body></html>

С учетом того, что на сервере всего около 40 сайтов на Вордпресс, нагрузки вообще не заметно

Вот это отдельная фишка. И вопрос с такими банами довольно деликатный /ru/forum/781676. Банить их или не банить каждый решает сам.

ihc.ru целый день всё лежит.

+1

поставил правило в htaccess:

<Files admin.php>

AuthName "ololo"

AuthType Basic

AuthUserFile /home/p*****/www/*****.ru/путь_до_файла/.htpasswd

require valid-user

Deny from all

Allow from 180.183.

</Files>

т.е. поставил под отдачу не заглушку 404 сайта, а Web Server + фильтрация по IP

- проблема решена

я в свое время файл логина и папку админки закрыл паролем, после этого перестали беспокоить

1. в корневом хтакес

<Files wp-login.php>

Order Deny,Allow

Deny from All

Satisfy Any

AuthUserFile "/home/domains/site/.htpasswd"

AuthName "Private access"

AuthType Basic

Require valid-user

</Files>

2. в /wp-admin в корне хтакес

Order Deny,Allow

Deny from All

Satisfy Any

AuthUserFile "/home/domains/site/.htpasswd"

AuthName "Private access"

AuthType Basic

Require valid-user



<FilesMatch "\.(ico|pdf|flv|jpg|jpeg|mp3|mpg|mp4|mov|wav|wmv|png|gif|swf|css|js)$">

Allow from All

</FilesMatch>

<FilesMatch "(async-upload)\.php$">

<IfModule mod_security.c>

SecFilterEngine Off

</IfModule>

Allow from All

</FilesMatch>

Наблюдаем 2 волну атаки, в разы мощнее предыдущей..

запретил доступ к wp-login.php на всех вордпресовских сайтах и сразу все наладилось

Да нормально ihc.ru,и виртуальный хостинг и три VPS клиентов