- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Подскажите, плиз, что делать в такой ситуации.
Выделенный сервер. Используется CloudFlare (ну это так, чисто для информации). Установлен WordPress. Сайт типа энциклопедии, есть зарегистрированные пользователи, которые изредка пользуются функциями, доступными только зарегистрированным пользователям.
Недавно повадились какие-то чмошники делать многократные запросы к вордпрессовскому файлу wp-login.php. Скорее всего пытаются перебрать пароль для администратора сайта, чтобы получить доступ к базе данных.
Число запросов генерируется беспрецедентное для моего не слишком то большого сайта:
У меня на сервере установен Fail2ban, работает неплохо, но за многократные запросы он по рукам "хакерам" не бьет почему то. Установлен плагин WordPress Brute Force Login Protection - после 10-ти попыток доступа в течение нескольких секунд к wp-login заносит IP "хакера" в .htaccess. За это ему спасибо, иначе сервер бы просто упал.
IP отслеживаю через error_log сервера, делаю whois и пишу в abuse провайдера. Кто-то реагирует, кто то нет. Вот например, что написал один чмошник в ответ (чисто отписка, на мой взгляд):
Особо рьяных заношу в вечный бан через parallels plesk panel.
Сейчас проблема заключается в том, что сильно раздуваются логи (error_log, access_log) - за день иногда может до 600 Мб их размер составлять, а это нагрузка на сервер. К счастью, каждый день они обнуляются.
ВОПРОС: есть ли какой-нибудь модуль на уровне сервера, который с такими атаками помогает бороться? CloudFlare с сервисным планом Pro Website импотентен и такие атаки не устраняет, а более серьезный тарифный план мне недоступен по деньгам (это $200 в месяц) и не факт, что решит проблему.
Или еще какое-нибудь интересное решение? С пользователями расставаться не хочу, поэтому вариант отказа от регистрации на сайте не рассматриваю.
У меня на сервере установен Fail2ban, работает неплохо, но за многократные запросы он по рукам "хакерам" не бьет почему то.
Не /правильно/ настроен.
есть ли какой-нибудь модуль на уровне сервера, который с такими атаками помогает бороться?
Запрет в хтацесс на файл для всех, кроме себя и нужных юзеров - не? А плагины выкинуть :)
Как вариант - доп. серверная авторизация.
Там настроек - раз два и обчелся. У меня все джейлы включены, IPшники хакеров там присутствуют как заблокированные.
Их 2000 штук, юзеров, и каждый день хотя бы один новый регистрируется.
Зачем? Плагин как раз делает то, что вы посоветовали - запрещает доступ к wp-login.php для IP хакера.
хороший способ переименовать wp-login на другое имя
Ну будут ломиться по другому имени, делов то. Они ж не дураки - смотрят, куда ведут ссылки регистрации или входа на сайт, и запрашивают их раз по 10 в секунду.
Плагин как раз делает то, что вы посоветовали - запрещает доступ к wp-login.php для IP хакера.
Данный плагин - это
1) работа движка. А зачем эта нагрузка, если есть штатные функции сервера.
2) ты сам жалуешься на логи.
Но если юзеров много (хотя я лично противник использования контентных движков как многопользовательских), то доп. серверная авторизация - неплохой вариант.
хороший способ переименовать wp-login на другое имя
Фиговый способ. 10 раз фиговый. И фиговый тоже, как одноимённый листик.
Попробую дополнительную серверную авторизацию реализовать...
Что же касается плагина WordPress Brute Force Login Protection, то просто хочу пояснить, что никакой существенной нагрузки на сервер он не создает, т.к. его работа краткосрочна - он только отслеживает доступ к wp-login.php и ему достаточно 10 неверных попыток входа, что послать IPшник в .htaccess. После чего блокировкой доступа по IP занимается сервер. У меня с этим плагином, с ежедневным трафиком нормальным + трафиком от хакеров пиковая нагрузка на сервер не превышает 10-12% (а средняя нагрузка, дак вообще наверное 4%), при том, что сервер самый дешевый в свое время выбрал.
Но это так, лирика...
Ну будут ломиться по другому имени, делов то. Они ж не дураки - смотрят, куда ведут ссылки регистрации или входа на сайт, и запрашивают их раз по 10 в секунду.
Именно к wp-login обращаются боты автоматически. Замечал, что при смене имени, они к новому адресу уже не обращаются.
Именно к wp-login обращаются боты автоматически. Замечал, что при смене имени, они к новому адресу уже не обращаются.
Это не решение проблемы, это ее отсрочка. И при обновлении WordPress wp-login.php вновь материализуется.
У меня все джейлы включены
Не /правильно/ настроен.
ибо fail2ban "не обучен" искать брутфорс админки вордпресса, эту настройки надо сделать самому.
даже стандартный брут ssh в прежних версиях (не знаю как в последних) fail2ban не отбивался, необходимо было дополнительное правило дописывать.
а wp-login.php переименовать не? И правило в nginx прописать чтобы wp-login не доходил до бекенда, а отдавался как статическая страница?
у меня на админку джумлы налетали так что хостер присылал сообщения о превышении CPU и угрозы блокировки аккаунта