Брутфорс адинки ВП

1 234
A
На сайте с 20.08.2010
Offline
775
#21
Sly32:
Можно поподробнее? 403 на страницу авторизации?Как правильно реализовать?

/ru/forum/comment/12010162

Только пользователи тоже не зайдут в админку, если зарегистрированы.

зы: а зачем регистрироваться в вп?

S3
На сайте с 29.03.2012
Offline
322
#22
awasome:
/ru/forum/comment/12010162
Только пользователи тоже не зайдут в админку, если зарегистрированы.

зы: а зачем регистрироваться в вп?

Ну вроде как пользователи приходят, даже пишут что0то в коментах...

Блокировка по ip не подходит - у меня он через adsl, постоянно меняется. видимо, придется делать дополнительную авторизацию

---------- Добавлено 12.09.2013 в 13:53 ----------

pix:
403 — закрыть доступ по айпи. (хтачесс)
На сайте напишите, ведём технические работы. Пару дней без пользователей, но нужно же как-то сбить брут.

сайт и так периодически зависает, так что не выход))) на мой сайт атака идет с пятницы прошлой. Поломать не поломают, но жизнь попортили

A
На сайте с 20.08.2010
Offline
775
#23
Sly32:
Ну вроде как пользователи приходят, даже пишут что0то в коментах...

В вп комментарии без регистрации, напрямую, так что wp-admin можно закрывать.

Sly32:

Блокировка по ip не подходит - у меня он через adsl, постоянно меняется. видимо, придется делать дополнительную авторизацию

Подсеть тоже что ли меняется?

S3
На сайте с 29.03.2012
Offline
322
#24
awasome:
В вп комментарии без регистрации, напрямую, так что wp-admin можно закрывать.


Подсеть тоже что ли меняется?

насчет комментов согласен - можно закрыть.

с IP не знаю как быть. вроде подсеть таже. Но иногда нужно и по 3g войти, причем от нескольких операторов.

Нифига не помогает Better WP Security - все равно виснет сайт. спасает только 301 редирект. Вот думаю переделать/переименовать файл wp-login.php, а боты пусть клюют несуществующий

vitvirtual
На сайте с 18.10.2007
Offline
243
#25

Белый список ip для доступа к wp-login.php, можно и через htaccess, и через плагины; в черный список те ip, откуда больше всего запросов. А вообще, нужно переходить на другие движки постепенно...

www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$ / VPN - Open, Pptp, Double. Http proxy - http://secretsline.biz
S3
На сайте с 29.03.2012
Offline
322
#26
vitvirtual:
Белый список ip для доступа к wp-login.php, можно и через htaccess, и через плагины; в черный список те ip, откуда больше всего запросов. А вообще, нужно переходить на другие движки постепенно...

белый список - возможно, черный - в нем сейчас более 500 ip и толку нет

Насчет перехода на другие движки - согласен, скорее даже не на движки а самому надо писать. За Питона что ли сесть...

NasMnogo-Mbl-Sila
На сайте с 16.11.2010
Offline
41
#27

Нафик оно кому надо? Скорость проверки дико медленная и вероятность подбора крайне мала. Или кто-то собрал базу и пытается проверить её на лохов с типичными паролями?

Тут выкупают женский трафик по лучшей цене! (http://ladycash.ru/?ref=3828 ) ERA Host – хостинг 5 Гб за 3$, бесплатная раскрутка (http://erahost.ru/?ref=17726)
Den73
На сайте с 26.06.2010
Offline
523
#28
Sly32:
белый список - возможно, черный - в нем сейчас более 500 ip и толку нет

Насчет перехода на другие движки - согласен, скорее даже не на движки а самому надо писать. За Питона что ли сесть...

бедные, какой то брутфорс приводит к таким мыслям, смените хостинг на тот который не ложится от вашей нагрузки, да и у большинства антибрутфорс уже встроен и работает он прозрачно для пользователя, причем в реал тайме.

S3
На сайте с 29.03.2012
Offline
322
#29
Den73:
бедные, какой то брутфорс приводит к таким мыслям, смените хостинг на тот который не ложится от вашей нагрузки, да и у большинства антибрутфорс уже встроен и работает он прозрачно для пользователя, причем в реал тайме.

Надо бы...

Сегодня с утра на пару сайтов ломятся какие-то странные боты. Если раньше агент показывал Mozilla 19.0 то теперь из Оперы. Да и еще и с одного и того же IP. Ну тут все просто - .htaccess перекрыл да и все. На работоспособность сайтов не влияет.

le ministre
На сайте с 08.09.2011
Offline
36
#30

Мне помог в свое время плагин Simple Login Lockdown.

Позволяет делать определенное кол-во попыток входа в админку(например, 5). Потом этот IP в черный список добавляется на установленный промежуток времени. Можно сразу поставить как можно больше, проблем с тем, что сами можете в блэк-лист попасть нет, на этот случай выход:

Q: I got locked out, what do I do?

A: If you absolutely need to get into your site right now, you can can do one of two things... 1. Fire up your FTP client and rename the simple-login-lockdown plugin folder 2. Login into your favorite database administration tool (probably PHPMyAdmin) and search for locked_down_ in the option_name column of the wp_options table. Delete the records you find -- they should be "transients".

1 234

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий