Aumento de intentos de inicio de sesión fallidos, ¿ataques de fuerza bruta?

Question

Aumento de intentos de inicio de sesión fallidos, ¿ataques de fuerza bruta?

12 abr 2013, 16:42:02

Vistas: 13.9K

Votos: 21

Instalé el plugin Simple Login Lockdown y desde hace unos días la base de datos está registrando más de 200 registros por día.

Creo que no es posible que mi sitio esté siendo atacado por tantas IPs

¿Crees que hay algo mal?

Minapoli

311

iniciar sesión seguridad

Comentarios

Claro que es posible. ¿Conoces a esas personas que hacen clic en todo sin prestar realmente atención a lo que están haciendo clic? Culpa a ellos.

s_ha_dum

12 abr 2013 17:03:02

¿Sabéis cómo incluirme en la lista blanca? He probado tanto este plugin que ahora me aparece lo siguiente:

"Acceso denegado. Tu dirección IP [Mi IP] está en la lista negra. Si crees que esto es un error, por favor contacta con el departamento de abusos de tu proveedor de hosting."

El archivo readme menciona algo pero no sé cómo aplicar correctamente las modificaciones ni dónde. ¿Qué archivo debo editar?

Boris_yo

18 abr 2013 13:29:41

Todas las respuestas a la pregunta

Comentarios

Tengo numerosos sitios que reciben miles de visitas algunos días, todo está completamente automatizado

Tom J Nowell

12 abr 2013 16:46:52

También hemos visto un aumento notable de bloqueos en nuestros sitios WordPress, únete al club @Minapoli.

Andrew Bartel

12 abr 2013 21:23:43

Uso y me encanta Limit Login Attempts, pero en este caso no ayudará del todo, porque la botnet parece ser lo suficientemente inteligente como para intentar solo un puñado de intentos con cualquier dirección IP dada. Por lo tanto, elude efectivamente el bloqueo por IP activado por intentos de inicio de sesión fallidos repetidos.

Chip Bennett

12 abr 2013 21:24:55

@Chip Bennett parece que solo está intentando 'aaa', 'administrator' y 'admin' en nuestros sitios, ¿has visto que se dirijan a otros nombres de usuario?

Andrew Bartel

12 abr 2013 21:33:23

Solo tengo constancia de que intentan el nombre de usuario admin.

Chip Bennett

12 abr 2013 21:46:13

Mostrar los 8 comentarios restantes

Comentarios

Ten en cuenta que esto bloqueará a los usuarios con PHP ejecutándose a través de (Fast-)CGI.

fuxia

15 abr 2013 13:30:11

¡Gracias por eso! Funciona en PHP-FPM pero después de buscar veo que no funcionará cuando PHP se ejecuta en CGI/SuExec. Voy a tener que hacer una actualización rápida para desactivar el plugin en ese entorno.

Chris_O

15 abr 2013 23:32:40

fuxia 107K · Answer 1 · 2013-04-12T16:46:01Z

Actualmente hay una botnet activa, atacando sitios WordPress y Joomla. Y probablemente más. Deberías ver más intentos de inicio de sesión bloqueados. Si no es así, probablemente haya algo mal.

Pero ten en cuenta que bloquear direcciones IP no ayuda contra una botnet con más de 90,000 direcciones IP.
Y si lo haces a través de un plugin, evita Limit Login Attempts. Almacena las IPs en una opción serializada que debe deserializarse en cada solicitud. Esto es muy costoso y lento.
Busca un plugin que use una tabla de base de datos separada o bloquea las direcciones IP en tu .htaccess así:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Consulta también:

Codex: Ataques de Fuerza Bruta
Protección de Inicio de Sesión con .htaccess por Ipstenu (Mika Epstein)
Reglas Personalizadas de ModSecurity para WordPress por Liquid Web
Protección contra Ataques de Fuerza Bruta en WordPress por Sucuri Blog, también: ¿Ataques Masivos de Fuerza Bruta en WordPress? – ¿Mito o Realidad? con detalles estadísticos interesantes
Cómo Proteger con Contraseña el Archivo wp-login.php por HostGator

Nuestra etiqueta de seguridad también vale la pena revisar, especialmente:

Si has movido wp-admin o tu wp-login.php, estas URLs aún pueden ser adivinadas añadiendo /login o /admin a la URL principal. WordPress redirigirá estas solicitudes a la ubicación correcta.
Para detener este comportamiento, puedes usar un plugin muy simple:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Creo que esto es seguridad por oscuridad – nada serio.

Chris_O 20.6K · Answer 2 · 2013-04-15T13:24:55Z

Además de los recursos que toscho enumeró en su respuesta, también podrías usar la Autenticación HTTP Básica de PHP para proteger con contraseña wp-admin y/o wp-login.php para bloquear el acceso a wp-login.php.

Acabo de publicar un plugin que hace esto por ti junto con bloquear solicitudes sin referente (No-Referrer). (Actualmente, el bloqueo de No-Referrer no funciona para sitios instalados en un subdirectorio).

Chris_O

20.6K

15 abr 2013 13:24:55

Arshid KK 191 · Answer 3 · 2015-11-02T02:47:01Z

Puedes proteger tu área de administración de WordPress siguiendo estos métodos.

Añade números, caracteres especiales y letras en tu contraseña de administrador para crear una contraseña segura
Si tienes muchos registros en tu base de datos, esto puede ralentizar tu sitio web. Puedes evitarlo añadiendo un captcha de imagen en tu página de wp-admin. Hay plugins disponibles para esto, como https://wordpress.org/plugins/wp-limit-login-attempts/

Arshid KK

191

2 nov 2015 02:47:01