¿Aumento de intentos fallidos de inicio de sesión, ataques de fuerza bruta? [cerrado]

Cerrado. Esta pregunta está fuera de tema . Actualmente no está aceptando respuestas.

¿Quieres mejorar esta pregunta? Actualice la pregunta para que sea sobre el tema de WordPress Development Stack Exchange.

Cerrado hace 4 años .

Instalé el complemento Simple Login Lockdown y desde hace un par de días la base de datos registra más de 200 registros por día.

Creo que no es posible atacar mi sitio con tantas IP

¿Crees que hay algo mal?

— Minapoli
fuente

Claro que es posible. ¿Conoces a esas personas que hacen clic en todo sin realmente prestar atención a lo que hacen clic? Culpalos a ellos.

— s_ha_dum

¿Saben cómo incluirme en la lista blanca? He exagerado este complemento a la situación en la que obtengo lo siguiente: "Acceso denegado. Su dirección IP [Mi IP] está en la lista negra. Si cree que esto es un error, comuníquese con el departamento de abuso de proveedores de alojamiento". El archivo Léame dice algo, pero no sé cómo aplicar correctamente las modificaciones y dónde. ¿Qué archivo editar?

— Boris_yo

Respuestas:

Actualmente hay una botnet activa que ataca sitios de WordPress y Joomla . Y probablemente más. Usted debe ver los inicios de sesión más bloqueados. Si no lo hace, probablemente hay algo mal.

Pero tenga en cuenta que bloquear direcciones IP no ayuda contra una red bot con más de 90,000 direcciones IP.
Y si lo hace por complemento, evite los intentos de inicio de sesión limitados . Almacena las IP en una opción serializada que debe ser no serializada en cada solicitud. Esto es muy costoso y lento.
Encuentre un complemento que use una tabla de base de datos separada o bloquee las direcciones IP en su .htaccess de esta manera:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Ver también:

Códice: Ataques de fuerza bruta
Protección de inicio de sesión con .htaccess por Ipstenu (Mika Epstein)
Reglas personalizadas de ModSecurity de WordPress por Liquid Web
Protección contra los ataques de fuerza bruta de WordPress por Sucuri Blog, también: ¿Ataques masivos de fuerza bruta de WordPress? - Mito o realidad con interesantes detalles estadísticos
Cómo proteger con contraseña el archivo wp-login.php por HostGator

También vale la pena echar un vistazo a nuestra etiqueta de seguridad , especialmente:

Si te has mudado wp-admino wp-login.phpestas URL aún se pueden adivinar agregando /logino /admina la URL principal. WordPress redirigirá estas solicitudes a la ubicación correcta.
Para detener ese comportamiento, puede usar un complemento muy simple:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Creo que esto es seguridad por oscuridad , nada serio.

— fuxia
fuente

Tengo numerosos sitios que obtienen miles en algunos días, está completamente automatizado

— Tom J Nowell

También hemos visto un marcado aumento en los bloqueos en nuestros sitios de WordPress, únete al club @Minapoli.

— Andrew Bartel

Uso y me encantan los intentos de inicio de sesión con límite, pero en este caso, no será de gran ayuda, porque la botnet parece ser lo suficientemente inteligente como para intentar un puñado de intentos con cualquier dirección IP. Por lo tanto, evita de manera efectiva el bloqueo por IP activado por fallas de inicio de sesión repetidas.

— Chip Bennett

@Chip Bennett parece que solo está intentando 'aaa', 'administrador' y 'administrador' en nuestros sitios, ¿está viendo algún otro nombre de usuario como objetivo?

— Andrew Bartel

@RRikesh No estoy seguro. Por lo general, siteurl/loginredirige a la página de inicio de sesión correcta.

— fuxia

Además de los recursos que se enumeran en su respuesta, también puede usar la autenticación básica HTTP de PHP para proteger con contraseña wp-admin o wp-login.php para bloquear el acceso a wp-login.php.

Acabo de lanzar un complemento que hace esto por usted junto con el bloqueo de solicitudes de No referencia. (El bloque No Refrrer actualmente no funciona para sitios instalados en un subdirectorio).

— Chris_O
fuente

Tenga en cuenta que bloqueará a los usuarios con PHP ejecutándose por (Fast-) CGI.

— fuxia

¡Gracias por eso! Funciona en PHP-FPM, pero después de buscar, veo que no funcionará cuando PHP ejecute CGI / SuExec. Voy a tener que hacer una actualización rápida para desactivar el complemento en ese entorno.

— Chris_O

Puede proteger a su administrador de WordPress siguiendo los siguientes métodos.

Agregue números, caracteres especiales y alfabetos en su contraseña de administrador y luego cree una contraseña segura
Si tiene más registros en su base de datos, esto ralentizará sus sitios web. Por lo tanto, se puede evitar agregando captcha de imagen en su página wp-admin. Algunos complementos están disponibles para ello. Como https://wordpress.org/plugins/wp-limit-login-attempts/

— Arshid KK
fuente