Ich habe das Plugin Simple Login Lockdown installiert und seit ein paar Tagen zeichnet die Datenbank über 200 Datensätze pro Tag auf.
Ich denke, dass es nicht möglich ist, meine Website von so vielen IPs angreifen zu lassen
Denken Sie, dass etwas nicht stimmt?
Antworten:
Derzeit ist ein Botnet aktiv, das WordPress- und Joomla-Sites angreift . Und wahrscheinlich noch mehr. Du solltest mehr gesperrte Anmeldungen sehen. Wenn Sie dies nicht tun, ist wahrscheinlich etwas nicht in Ordnung.
Beachten Sie jedoch, dass das Blockieren von IP-Adressen bei einem Bot-Netzwerk mit mehr als 90.000 IP-Adressen nicht hilft.
Und wenn Sie dies per Plugin tun, vermeiden Sie Anmeldeversuche . Es speichert die IPs in einer serialisierten Option, die bei jeder Anforderung unserialisiert werden muss. Das ist sehr teuer und langsam.
Suchen Sie ein Plugin, das eine separate Datenbanktabelle verwendet, oder blockieren Sie die IP-Adressen in Ihrer .htaccess-Datei wie folgt:
Siehe auch:
Sehenswert ist auch unsere Tag- Sicherheit , insbesondere:
Wenn Sie bewegen
wp-admin
oder Ihrewp-login.php
diese URLs noch durch Anfügen erraten werden/login
oder/admin
auf die Haupt - URL. WordPress leitet diese Anfragen an den richtigen Ort weiter.Um dieses Verhalten zu stoppen, können Sie ein sehr einfaches Plugin verwenden:
Ich denke, das ist Sicherheit durch Dunkelheit - nichts Ernstes.
quelle
siteurl/login
zur richtigen Anmeldeseite weiter.Zusätzlich zu den in seiner Antwort aufgeführten Ressourcen können Sie auch die grundlegende HTTP-Authentifizierung von PHP verwenden , um wp-admin mit einem Kennwort zu schützen, und wp-login.php, um den Zugriff auf wp-login.php zu blockieren.
Ich habe gerade ein Plugin veröffentlicht , das dies für Sie erledigt und No-Referrer-Anfragen blockiert. (Der Block "Keine Aktualisierung" funktioniert derzeit nicht für Sites, die in einem Unterverzeichnis installiert sind.)
quelle
Sie können Ihren WordPress-Administrator mit den folgenden Methoden schützen.
quelle