Zunahme fehlgeschlagener Anmeldeversuche, Brute-Force-Angriffe? [geschlossen]

20

Ich habe das Plugin Simple Login Lockdown installiert und seit ein paar Tagen zeichnet die Datenbank über 200 Datensätze pro Tag auf.

Ich denke, dass es nicht möglich ist, meine Website von so vielen IPs angreifen zu lassen

Denken Sie, dass etwas nicht stimmt?

Minapoli
quelle
6
Sicher ist es möglich. Sie kennen die Leute, die auf alles klicken, ohne wirklich darauf zu achten, worauf sie klicken? Beschuldige sie.
s_ha_dum
Weißt du, wie ich mich auf die Whitelist setzen kann? Ich habe dieses Plugin auf die Situation getestet, in der ich Folgendes erhalte: "Zugriff verweigert. Ihre IP-Adresse [Meine IP] ist auf der schwarzen Liste. Wenn Sie der Meinung sind, dass dies ein Fehler ist, wenden Sie sich bitte an die Missbrauchsabteilung Ihres Hosting-Anbieters." Die Readme-Datei sagt etwas, aber ich weiß nicht, wie und wo ich Änderungen richtig anwenden soll. Welche Datei soll bearbeitet werden?
Boris_yo

Antworten:

21

Derzeit ist ein Botnet aktiv, das WordPress- und Joomla-Sites angreift . Und wahrscheinlich noch mehr. Du solltest mehr gesperrte Anmeldungen sehen. Wenn Sie dies nicht tun, ist wahrscheinlich etwas nicht in Ordnung.

Beachten Sie jedoch, dass das Blockieren von IP-Adressen bei einem Bot-Netzwerk mit mehr als 90.000 IP-Adressen nicht hilft.
Und wenn Sie dies per Plugin tun, vermeiden Sie Anmeldeversuche . Es speichert die IPs in einer serialisierten Option, die bei jeder Anforderung unserialisiert werden muss. Das ist sehr teuer und langsam.
Suchen Sie ein Plugin, das eine separate Datenbanktabelle verwendet, oder blockieren Sie die IP-Adressen in Ihrer .htaccess-Datei wie folgt:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Siehe auch:

Sehenswert ist auch unsere Tag- , insbesondere:

Wenn Sie bewegen wp-adminoder Ihre wp-login.phpdiese URLs noch durch Anfügen erraten werden /loginoder /adminauf die Haupt - URL. WordPress leitet diese Anfragen an den richtigen Ort weiter.
Um dieses Verhalten zu stoppen, können Sie ein sehr einfaches Plugin verwenden:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Ich denke, das ist Sicherheit durch Dunkelheit - nichts Ernstes.

fuxia
quelle
Ich habe zahlreiche Websites, die an manchen Tagen Tausende erreichen. Sie sind vollständig automatisiert
Tom J Nowell
Wir haben auch auf unseren WordPress-Sites einen deutlichen Anstieg bei den Aussperrungen festgestellt. Treten Sie dem Club @Minapoli bei.
Andrew Bartel
Ich benutze und liebe Limit Login Attempts, aber in diesem Fall wird es nicht ganz helfen, da das Botnetz so geschickt zu sein scheint, dass nur eine Handvoll Versuche mit einer bestimmten IP-Adresse unternommen werden können. Auf diese Weise wird die durch wiederholte Anmeldefehler verursachte IP-Sperrung effektiv umgangen.
Chip Bennett
@Chip Bennett es scheint nur "aaa", "administrator" und "admin" auf unseren Websites zu versuchen, sehen Sie, dass andere Benutzernamen als Ziel ausgewählt wurden?
Andrew Bartel
2
@RRikesh Nicht sicher. Leitet normalerweise siteurl/loginzur richtigen Anmeldeseite weiter.
Fuxia
3

Zusätzlich zu den in seiner Antwort aufgeführten Ressourcen können Sie auch die grundlegende HTTP-Authentifizierung von PHP verwenden , um wp-admin mit einem Kennwort zu schützen, und wp-login.php, um den Zugriff auf wp-login.php zu blockieren.

Ich habe gerade ein Plugin veröffentlicht , das dies für Sie erledigt und No-Referrer-Anfragen blockiert. (Der Block "Keine Aktualisierung" funktioniert derzeit nicht für Sites, die in einem Unterverzeichnis installiert sind.)

Chris_O
quelle
Beachten Sie, dass Benutzer mit PHP, das per (Fast-) CGI ausgeführt wird, gesperrt werden.
fuxia
Dank dafür! Es funktioniert auf PHP-FPM, aber nach der Suche sehe ich, dass es nicht funktioniert, wenn PHP CGI / SuExec ausführt. Ich muss ein schnelles Update durchführen, um das Plugin in dieser Umgebung zu deaktivieren.
Chris_O
0

Sie können Ihren WordPress-Administrator mit den folgenden Methoden schützen.

  1. Fügen Sie dann Zahlen, Sonderzeichen und Buchstaben in Ihr Admin-Passwort ein sicheres Kennwort ein
  2. Wenn Sie mehr Datensätze in Ihrer Datenbank haben, verlangsamt dies Ihre Websites. Sie können dies vermeiden, indem Sie ein Bild-Captcha in Ihre wp-admin-Seite einfügen. Einige Plugins sind dafür verfügbar. Gefällt mir https://wordpress.org/plugins/wp-limit-login-attempts/
Arshid KK
quelle