เพิ่มความพยายามในการลงชื่อเข้าใช้ล้มเหลวกำลังโจมตีแบบดุร้ายหรือไม่ [ปิด]

ฉันติดตั้งปลั๊กอิน Simple Login Lockdown และตั้งแต่สองสามวันที่ผ่านมาฐานข้อมูลมีการบันทึกมากกว่า 200 รายการต่อวัน

ฉันคิดว่าเป็นไปไม่ได้ที่เว็บไซต์ของฉันจะถูกโจมตีโดย IP จำนวนมาก

คุณคิดว่ามีบางอย่างผิดปกติหรือไม่?

ขณะนี้ยังไม่มีบ็อตเน็ตที่ใช้งาน, การโจมตี WordPress และเว็บไซต์ และอาจมากกว่า คุณควรเห็นการเข้าสู่ระบบที่ถูกบล็อกมากขึ้น ถ้าคุณทำไม่ได้อาจมีบางอย่างผิดปกติ

แต่ระวังการบล็อกที่อยู่ IP ไม่ได้ช่วยป้องกันบอทเน็ตที่มีที่อยู่ IP มากกว่า 90,000 รายการ
และถ้าคุณทำอย่างนั้นต่อปลั๊กอินหลีกเลี่ยงการจำกัด การเข้าสู่ระบบความพยายาม มันเก็บ IPs ในตัวเลือกต่อเนื่องที่จะต้องมี unserialized ในแต่ละคำขอ นี่แพงมากและช้า
ค้นหาปลั๊กอินที่ใช้ตารางฐานข้อมูลแยกต่างหากหรือบล็อกที่อยู่ IP ใน. htaccess ของคุณเช่นนี้:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

ดูสิ่งนี้ด้วย:

• Codex: Brute Force Attacks
• การป้องกันการล็อกอินด้วย. htaccessโดย Ipstenu (Mika Epstein)
• Custom WordPress ModSecurity Rulesโดยเว็บเหลว
• การป้องกันการโจมตี WordPress Brute-Forceโดย Sucuri บล็อกเพิ่มเติม: การโจมตีมวล WordPress Brute Force? - ตำนานหรือความจริงที่มีรายละเอียดทางสถิติที่น่าสนใจ
• วิธีการป้องกันด้วยรหัสผ่านไฟล์ wp-login.phpโดย HostGator

ความปลอดภัยของแท็กของเรานั้นคุ้มค่ากับการดูโดยเฉพาะ:

• ตรวจสอบว่าฉันลบแฮ็ค WordPress ออกทั้งหมดหรือไม่
• การรักษาความปลอดภัยบัญชีผู้ดูแลระบบ - การค้นหาชื่อผู้ใช้
• วิธี brute-forcer รู้ว่ารหัสผ่านแตกสำหรับชื่อผู้ใช้เป้าหมายหรือไม่

หากคุณย้ายwp-adminหรือwp-login.phpURL เหล่านี้ยังสามารถคาดเดาได้โดยการต่อท้าย/loginหรือ/adminไปยัง URL หลัก WordPress จะเปลี่ยนเส้นทางคำขอเหล่านี้ไปยังตำแหน่งที่ถูกต้อง
หากต้องการหยุดพฤติกรรมดังกล่าวคุณสามารถใช้ปลั๊กอินง่ายๆ:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

ฉันคิดว่านี่คือความปลอดภัยโดยความสับสน - ไม่มีอะไรจริงจัง

นอกเหนือจากทรัพยากร toscho ที่ระบุไว้ในคำตอบของเขาคุณยังสามารถใช้Basic HTTP Authenticationเพื่อป้องกันรหัสผ่าน wp-admin และหรือ wp-login.php เพื่อป้องกันการเข้าถึง wp-login.php

ฉันเพิ่งเปิดตัวปลั๊กอินที่ทำสิ่งนี้เพื่อคุณพร้อมกับการปิดกั้นการร้องขอ No-Referrer (ขณะนี้บล็อก No-Refrrer ไม่สามารถใช้ได้กับไซต์ที่ติดตั้งในไดเรกทอรีย่อย)

คุณสามารถปกป้องผู้ดูแลระบบ WordPress ของคุณได้ด้วยวิธีการดังต่อไปนี้

1. เพิ่มตัวเลขอักขระพิเศษและตัวอักษรในรหัสผ่านผู้ดูแลระบบของคุณจากนั้นสร้างรหัสผ่านที่คาดเดายาก
2. หากคุณมีบันทึกในฐานข้อมูลของคุณมากขึ้นสิ่งนี้จะทำให้เว็บไซต์ของคุณช้าลง ดังนั้นจึงสามารถหลีกเลี่ยงได้โดยการเพิ่มภาพ captchaในหน้า wp-admin ของคุณ ปลั๊กอินบางตัวมีให้ใช้งาน ชอบhttps://wordpress.org/plugins/wp-limit-login-attempts/