Постоянные попытки хакнуть сайт Wordpress

12
big jacky
На сайте с 04.05.2013
Offline
77
1859

Здравствуйте.

Стоит на блоге Wordpress плагин отслеживающий ошибки 404. И постоянно в логах вижу попытки тупого перебора.

Тут страницы авторов:

Тут уязвимости в плагинах ищут:

Вопрос. Насколько это опасно учитывая, что у меня установлен All In One WP Security и настроены защиты от брутфорс, фаерволы и т.д.? В принципе пока взломов нет.

Вопрос 2. Возможно такие запросы нужно куда-то редиректить для снижения нагрузки? Или сделать загрузку сайта через CDN Cloudflare?

L
На сайте с 25.12.2013
Offline
279
#1

Запретите для начала доступ к админке для этого IP, делается элементарно в файле .htaccess или лучше разрешите в том же файле доступ в админку только со своего IP. И все это безобразие сразу прекратится.

Недорогой, надежный и отзывчивый VPS хостинг (http://goo.gl/sSkvjr) Нужно быстро и недорого вывести крипту? Легко! (http://goo.gl/yi4LRb)
SeVlad
На сайте с 03.11.2008
Offline
1528
#2
big jacky:
Тут уязвимости в плагинах ищут:

Как видно - ищут не только в плагинах, не только в ВП. Обычный брут известных уязвимостей. Любых движков.

big jacky:
настроены защиты от брутфорс,

Если бы это работало - этих скринов бы не было.

big jacky:
Возможно такие запросы нужно куда-то редиректить для снижения нагрузки?

Для снижения нагрузок - нужно не редиректить, а удалив плагины "безопасности" настроить сервер. Это его работа, а не движков на пхп.

Единственное что можно в ВП поставить - ограничение на кол-во попыток подбора пароля вне зависимости от ИП.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
big jacky
На сайте с 04.05.2013
Offline
77
#3
Lastwarrior:
Запретите для начала доступ к админке для этого IP, делается элементарно в файле .htaccess или лучше разрешите в том же файле доступ в админку только со своего IP. И все это безобразие сразу прекратится.

Насколько я вижу они не в админку пытаются достучаться. Доступ к wp-login.php у меня закрыт и страница логина переименована.

Если Вы имееете ввиду такой код:

<Files wp-login.php>
order deny,allow
deny from all
allow from 77.84.105.1 #Разрешено только мне:)
</Files>

то он неэффективен перед запросами типа:

http://site.ru/wp-content/themes/antioch/lib/scripts/download.php?file=../../../../../wp-config.php

Эти запросы им ничего не дают - лишь страницу 404.

Вопрос был в том, что делать с такой 404 страницей. Я могу банить эти айпи. На доступ ввобще ко всему сайту. Но это превратится в постоянный мониторинг, а они будут "долбить" с новых ИП в автоматическом режиме.

Мой вопрос:

"Не обращать внимание на эти переборы или что-то предпринимать?"

P.S. Настройку серверов не предлагать :) Не хочу в это вникать:) Мне бы просто решение в виде плагина или кода.

Ну или забыть про эти переборы и жить дальше? Кто и что может подсказать?

SeVlad
На сайте с 03.11.2008
Offline
1528
#4
big jacky:
то он неэффективен перед запросами типа:

Какую эффективность ты ожидаешь перед запросами?

Этот код ограничит доступ в админку с др ИПшников. Т.е. даже брут нельзя заюзать.

Эти несколько строк - и есть то, что входит в понятие "настройка сервера". Часть этих самых настроек.

big jacky:
Настройку серверов не предлагать Не хочу в это вникать Мне бы просто решение в виде плагина или кода.

Повторюсь:

SeVlad:
Они (плагины якобы безопасности) сами ничего не делают. Их нужно настраивать. Чтобы их настроить - нужны знания и понимание работы конкретного сервера и конкретного сайта. Но парадокс в том, что если если есть эти знания - плагины не нужны
Не нужны они и по другой причине, о которой я говорил выше - это задача/работа сервера, а не движка. Нечего нагружать движок тем, чем должен заниматься сервер.
big jacky:
"Не обращать внимание на эти переборы или что-то предпринимать?"

Выкинуть нафик это логирование из движка и не засирать базу мусором.

big jacky
На сайте с 04.05.2013
Offline
77
#5

SeVlad, может я туплю. Но разве эти все запросы обращаются в админку? Вот эти /?author и прочие?

И если я поставлю в разрешённые только свой ип, то что будет с такими запросами? Они увидят 404? Другую ошибку? Как это повлияет на нагрузку на сервер?

SeVlad
На сайте с 03.11.2008
Offline
1528
#6
big jacky:
может я туплю. Но разве эти все запросы обращаются в админку? Вот эти /?author и прочие?
И если я поставлю в разрешённые только свой ип, то что будет с такими запросами? Они увидят 404? Другую ошибку? Как это повлияет на нагрузку на сервер?

У тебя каша..

код

<Files wp-login.php>
order deny,allow
deny from all
allow from 77.84.105.1 #Разрешено только мне:)
</Files>

запрещает доступ к wp-login.php всем, кроме явно прописанных ИП. Это защита доступа в админку. Брут паролей не возможен.

/?author и прочие к этому никаким боком. Да, идёт выяснение наличие юзеров, но это по сути ничем не отличается от любого др легального GET-запроса (напр /?p=1). А поскольку ВП не находит такой страницы сайта - 404.

Можно в хтацессе запретить и /?author и тп что точно нет - никто не запрещает. И может это будет полезно, тк сервер будет отдавать 403, а не ВП генерить 404.

big jacky
На сайте с 04.05.2013
Offline
77
#7

SeVlad, нет ну вот теперь прояснилось. Я же сразу понял что в этой директиве deny from all я не нуждаюсь, потому что страница логина у меня переименована.

и теперь понятно что запросы типа:

wp-content/plugins/indeed/...

никак не отфильтруешь, потому что их могут задавать и обычным легальным GET-запросом.

Ок. Тогда просто забить на это.

SeVlad
На сайте с 03.11.2008
Offline
1528
#8
big jacky:
потому что страница логина у меня переименована.

Не только глупое, но и в общем-то бесполезное занятие :)

Вышеозначенный код - самое простое, лёгкое (во всех отношениях) и надёжное решение для ограничения доступа.

big jacky:
Тогда просто забить на это.

И базу не забивать этим мусором :)

hb2bd
На сайте с 06.04.2016
Offline
29
#9

Твой сайт на wordpress не взломают если

1) ты правильно настроил сервер

2) в плагинах вордпресса нету паблик уязвимостей

3) в вордпрессе нет приват уязвимостей

4) если у "соседей" нет уязвимостей

5) если у хостера нет уязвимостей

6) у тебя нету вируса на компе (доступы к сайту)

7) если у тебя пароли устойчивые к брутфорсу (wp-admin, ftp, ssh etc)

Все эти файрволы тебя не спасут от направленной атаки. Скорее в них могут быть уязвимости, ибо в чистом виде вордпресс не уязвим для скрипт-кидди

Чуть может помочь cloudflare с премиум файрволом тк он фильтрует все запросы

Исходя из всего этого и раз ты не хочешь администрировать тебе проще забить ибо разобраться в этом ты не сможешь

М
big jacky
На сайте с 04.05.2013
Offline
77
#10

Последний вопрос. Почему переименование страницы логина это бессмысленно? Её как-то можно вычислить? Просто мне сайт ложили запросами к wp-login.php. А после переименования проблема ушла.

А про остальные советы...

Конечно на отслеживание появления паблик уязвимостей в плагинах и прочего у меня времени нет.

Тем более проверять есть ли вирусы у соседей. Это работа сисадмина, и если я ещё этим буду заниматься, то кто же тогда будет вкладывать новые материалы на сайт, заниматься продвижением в соцсетях и т.д.?

Пароли конечно делаю сложные.

В принципе на данный момент всё нормально. Просто хотел уточнить по тем запросам что в шапке темы.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий