Italiano
it

Aumento dei tentativi di accesso falliti, attacchi brute force?

12 apr 2013, 16:42:02
Visualizzazioni: 13.9K
Voti: 21

Ho installato il plugin Simple Login Lockdown e da un paio di giorni il database registra oltre 200 record al giorno.

Penso che non sia possibile che il mio sito sia attaccato da così tanti IP

Pensi che ci sia qualcosa che non va?

login sicurezza
2
Commenti

Certo che è possibile. Conosci quelle persone che cliccano su tutto senza prestare davvero attenzione a ciò che stanno cliccando? Dà la colpa a loro.

s_ha_dum s_ha_dum
12 apr 2013 17:03:02

Ragazzi, sapete come inserirmi nella whitelist? Ho testato eccessivamente questo plugin al punto da ottenere il seguente messaggio:

"Accesso negato. Il tuo indirizzo IP [il mio IP] è nella blacklist. Se ritieni che sia un errore, contatta il reparto abuse del tuo hosting provider."

Il readme dice qualcosa ma non so come applicare correttamente le modifiche e dove. Quale file devo modificare?

Boris_yo Boris_yo
18 apr 2013 13:29:41
Tutte le risposte alla domanda 3
13
21

Attualmente è attiva una botnet che attacca siti WordPress e Joomla. E probabilmente altri. Dovresti vedere più accessi bloccati. Se non è così, probabilmente c'è qualcosa che non va.

Ma attenzione, bloccare gli indirizzi IP non aiuta contro una botnet con più di 90.000 indirizzi IP.
E se lo fai tramite un plugin, evita Limit Login Attempts. Memorizza gli IP in un'opzione serializzata che deve essere deserializzata ad ogni richiesta. Questo è molto costoso e lento.
Trova un plugin che utilizza una tabella di database separata o blocca gli indirizzi IP nel tuo file .htaccess in questo modo:

order allow,deny
# i 30 indirizzi IP principali elencati in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Vedi anche:

Vale la pena dare un'occhiata anche al nostro tag sicurezza, in particolare:

Se hai spostato wp-admin o il tuo wp-login.php, questi URL possono comunque essere indovinati aggiungendo /login o /admin all'URL principale. WordPress reindirizzerà queste richieste alla posizione corretta.
Per fermare questo comportamento puoi usare un plugin molto semplice:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Penso che questa sia una forma di sicurezza per oscuramento – niente di serio.

12 apr 2013 16:46:01
Commenti

Ho numerosi siti che ricevono migliaia di visite in alcuni giorni, è completamente automatizzato

Tom J Nowell Tom J Nowell
12 apr 2013 16:46:52

Abbiamo notato un marcato aumento dei bloccaggi anche sui nostri siti WordPress, benvenuti nel club @Minapoli.

Andrew Bartel Andrew Bartel
12 apr 2013 21:23:43

Io uso e adoro Limit Login Attempts, ma in questo caso non aiuterà completamente, perché la botnet sembra essere abbastanza intelligente da provare solo un paio di tentativi con un determinato indirizzo IP. Quindi, aggira efficacemente il blocco per IP attivato da ripetuti fallimenti di accesso.

Chip Bennett Chip Bennett
12 apr 2013 21:24:55

@Chip Bennett sembra che stia provando solo 'aaa', 'administrator' e 'admin' sui nostri siti, hai visto che vengono presi di mira altri username?

Andrew Bartel Andrew Bartel
12 apr 2013 21:33:23

Sono a conoscenza solo del tentativo con l'username admin.

Chip Bennett Chip Bennett
12 apr 2013 21:46:13

Idealmente, immagino che un sistema di blocco sarebbe utile. Quindi, se un utente ottiene più di x tentativi di login falliti, viene bloccato per un determinato periodo di tempo e accessibile solo se l'utente è su un IP conosciuto (preso dai loro precedenti login riusciti).

Christine Cooper Christine Cooper
13 apr 2013 17:46:01

Una domanda stupida: tenere WordPress in un'altra directory ti protegge da quegli attacchi? Immagino che prendano di mira solo siteurl/wp-login.php ?

RRikesh RRikesh
13 apr 2013 17:46:28

@RRikesh Non sono sicuro. Di solito siteurl/login reindirizza alla pagina di login corretta.

fuxia fuxia
13 apr 2013 17:50:20

@RRikesh - No. Vai su domain.com/wp-admin ... Oh guarda! È lì che hai spostato il login! Dovresti spostare tutto, e anche allora, DEVI poter accedere in qualche modo, quindi spostare la porta non aiuta alla lunga.

Ipstenu Ipstenu
14 apr 2013 18:50:22

@Ipstenu Se mantieni WordPress in un'altra directory, dovrai accedere tramite domain.com/directory/wp-admin. Tuttavia, il suggerimento di Toscho di usare domain.com/login reindirizza immediatamente alla pagina di login effettiva (anche se hai installato WordPress in un'altra directory).

RRikesh RRikesh
14 apr 2013 21:23:00

@RRikesh - domain.com/admin sul mio sito che ha WP installato in una directory funziona ancora :/

Ipstenu Ipstenu
15 apr 2013 22:15:05

Confermo. /login reindirizza a wp-login.php e /admin reindirizza a /wp-admin.

RRikesh RRikesh
16 apr 2013 08:08:42

@Ipstenu, RRikesh Guarda il mio aggiornamento. Pulirò questi commenti più tardi.

fuxia fuxia
16 apr 2013 08:31:02
Mostra i restanti 8 commenti
2
3

Oltre alle risorse elencate da toscho nella sua risposta, potresti anche utilizzare l'Autenticazione HTTP di base di PHP per proteggere con password wp-admin e/o wp-login.php per bloccare l'accesso a wp-login.php.

Ho appena pubblicato un plugin che fa questo per te insieme al blocco delle richieste No-Referrer. (Attualmente il blocco No-Referrer non funziona per i siti installati in una sottodirectory).

15 apr 2013 13:24:55
Commenti

Nota che questo bloccherà gli utenti con PHP in esecuzione tramite (Fast-)CGI.

fuxia fuxia
15 apr 2013 13:30:11

Grazie per questo! Funziona con PHP-FPM ma dopo alcune ricerche vedo che non funzionerà quando PHP è in esecuzione con CGI/SuExec. Dovrò fare un rapido aggiornamento per disattivare il plugin in quell'ambiente.

Chris_O Chris_O
15 apr 2013 23:32:40
0
0

Puoi proteggere l'area di amministrazione di WordPress seguendo questi metodi.

  1. Aggiungi numeri, caratteri speciali e lettere alla tua password di amministrazione per creare una password robusta
  2. Se hai molti record nel tuo database, questo potrebbe rallentare il tuo sito. Puoi evitarlo aggiungendo un CAPTCHA immagine nella pagina di accesso wp-admin. Alcuni plugin sono disponibili per questo scopo. Come https://wordpress.org/plugins/wp-limit-login-attempts/
2 nov 2015 02:47:01
Domande correlate
Rimuovere o aggiornare add_image_size
3
risposte
La tua installazione PHP sembra mancare dell'estensione MySQL richiesta da WordPress
2
risposte
Come personalizzare dinamicamente lo sfondo di un div utilizzando Advanced Custom Fields Plugin?
2
risposte
Ottenere lo 'slug' di una tassonomia personalizzata in WordPress
1
risposte
Visualizzare l'ID prodotto e la chiave dell'elemento nel carrello
2
risposte
Come eliminare #038; quando si sostituiscono stringhe nel contenuto
3
risposte