Безопасность Wordpress, защита от брутфорсов
Приветствую!
Опять пошла волна атак на некоторые из моих блогов. Посему делюсь, как я с ними борюсь и параллельно прошу делиться, у кого ещё какие есть соображения!
1) Сразу же! Ставим Limit login attempts, — и, как минимум, видим поток ip, с которых нас атакуют. Сначала я ограничился этим средством и раз в недельку вносил в .htaccess на всех своих сайтах эти айпишки, — примерно так:
Order allow,deny
allow from all
deny from 108.163.192.226
deny from 109.111.186.5
deny from 109.184.180.134
2) Вроде помогает, но «тысячи их»©. Я ещё на всякий случай поставил Sucuri, — в принципе, оно сканит на наличие зловредной фигни, ну и, — может слать айпишники с попытками брутфорса сразу большими кусками, — удобнее вносить. Но это не решает проблемы на корню.
3) Файналли — wpSecure Admin, — заменяет адрес логина в дашборд и сам дашборд на имя типа www.mysite.com/wp-admin?secretword — в противном случае (при попытке прямого доступа) редиректит на главную. Уж не знаю как, — проверял, работает жеж! — результат виден только день на второй (до тех пор предыдущие рецепты продолжают рапортовать о попытках), — но это реально уж работает. Покой и наслаждение.
Вот пока и всё. Если кто может ещё какими полезными фичами поделиться, — вилькомен зи!
Опять пошла волна атак на некоторые из моих блогов. Посему делюсь, как я с ними борюсь и параллельно прошу делиться, у кого ещё какие есть соображения!
1) Сразу же! Ставим Limit login attempts, — и, как минимум, видим поток ip, с которых нас атакуют. Сначала я ограничился этим средством и раз в недельку вносил в .htaccess на всех своих сайтах эти айпишки, — примерно так:
Order allow,deny
allow from all
deny from 108.163.192.226
deny from 109.111.186.5
deny from 109.184.180.134
2) Вроде помогает, но «тысячи их»©. Я ещё на всякий случай поставил Sucuri, — в принципе, оно сканит на наличие зловредной фигни, ну и, — может слать айпишники с попытками брутфорса сразу большими кусками, — удобнее вносить. Но это не решает проблемы на корню.
3) Файналли — wpSecure Admin, — заменяет адрес логина в дашборд и сам дашборд на имя типа www.mysite.com/wp-admin?secretword — в противном случае (при попытке прямого доступа) редиректит на главную. Уж не знаю как, — проверял, работает жеж! — результат виден только день на второй (до тех пор предыдущие рецепты продолжают рапортовать о попытках), — но это реально уж работает. Покой и наслаждение.
Вот пока и всё. Если кто может ещё какими полезными фичами поделиться, — вилькомен зи!
10 комментариев
подобным образом на Joomla прятал админку от брута
2-й пункт ещё проверяет и фиксит доступность на запись всяких папок и мониторит, чего там из системных или файлов темы когда поменялось, — тоже нелишне.
1) парсинг все интернета на предмет поиска админок
2) уже по базе идет массовый брут (как ДДОС) многопоточный
и пока сайт в базе они будут запросы слать, возможно не получая корректный ответ, сайт удалят из базы
я ставил редирект на 400 Bad Request, так как главная отдаст 200 OK и не известно на сколько умный у них сканер…
Интересно, — как??
Ну не знают же они моё secretword
Но тогда почто limit login attempts рапортует о неудачных попытках авторизации. Постоянно, массово. Вот загадка.
если не будет то от брута этот Secretword не спасет, если ваш сайт уже в базе.
Вставка изображения
Оставить комментарий