Augmentation des tentatives de connexion infructueuses, attaques par force brute? [fermé]

Fermé. Cette question est hors sujet . Il n'accepte pas actuellement de réponses.

Voulez-vous améliorer cette question? Mettez à jour la question afin qu'elle soit sur le sujet pour WordPress Development Stack Exchange.

Fermé il y a 4 ans .

J'ai installé le plugin Simple Login Lockdown et depuis quelques jours, la base de données enregistre plus de 200 enregistrements par jour.

Je pense que ce n'est pas possible d'avoir mon site attaqué par autant d'IP

Pensez-vous qu'il y a quelque chose qui ne va pas?

— Minapoli
source

Bien sûr, c'est possible. Vous connaissez ces gens qui cliquent sur tout sans vraiment prêter attention à ce sur quoi ils cliquent? Blâmez-les.

— s_ha_dum

Savez-vous comment me mettre sur liste blanche? J'ai surestimé ce plugin dans la situation où j'obtiens ce qui suit: "Accès refusé. Votre adresse IP [Mon IP] est mise sur liste noire. Si vous pensez que c'est une erreur, veuillez contacter le service d'abus de votre hébergeur." Le fichier Lisezmoi dit quelque chose mais je ne sais pas comment appliquer correctement les modifications et où. Quel fichier éditer?

— Boris_yo

Réponses:

Il existe actuellement un botnet actif, attaquant les sites WordPress et Joomla . Et probablement plus. Vous devriez voir plus de connexions bloquées. Si vous ne le faites pas, il y a probablement quelque chose qui ne va pas.

Mais sachez que le blocage des adresses IP n'aide pas contre un bot net avec plus de 90 000 adresses IP.
Et si vous le faites par plugin, évitez de limiter les tentatives de connexion . Il stocke les IP dans une option sérialisée qui doit être non sérialisée à chaque demande. C'est très cher et lent.
Trouvez un plugin qui utilise une table de base de données distincte ou bloquez les adresses IP dans votre .htaccess comme ceci:

order allow,deny
# top 30 IP addresses listed in 
# http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
deny from 31.184.238.38
deny from 178.151.216.53
deny from 91.224.160.143
deny from 195.128.126.6
deny from 85.114.133.118
deny from 177.125.184.8
deny from 89.233.216.203
deny from 89.233.216.209
deny from 109.230.246.37
deny from 188.175.122.21
deny from 46.119.127.1
deny from 176.57.216.198
deny from 173.38.155.22
deny from 67.229.59.202
deny from 94.242.237.101
deny from 209.73.151.64
deny from 212.175.14.114
deny from 78.154.105.23
deny from 50.116.27.19
deny from 195.128.126.114
deny from 78.153.216.56
deny from 31.202.217.135
deny from 204.93.60.182
deny from 173.38.155.8
deny from 204.93.60.75
deny from 50.117.59.3
deny from 209.73.151.229
deny from 216.172.147.251
deny from 204.93.60.57
deny from 94.199.51.7
deny from 204.93.60.185

allow from all

Voir également:

Codex: Brute Force Attacks
Protection de connexion avec .htaccess par Ipstenu (Mika Epstein)
Règles personnalisées de WordPress ModSecurity par Liquid Web
Protection contre les attaques WordPress Brute-Force par Sucuri Blog, aussi: Mass WordPress Brute Force Attacks? - Mythe ou réalité avec des détails statistiques intéressants
Comment protéger par mot de passe le fichier wp-login.php par HostGator

Notre sécurité des balises vaut également le détour, en particulier:

Si vous avez déménagé wp-adminou que wp-login.phpces URL peuvent encore être devinées en ajoutant /loginou /adminà l'URL principale. WordPress redirigera ces demandes vers le bon emplacement.
Pour arrêter ce comportement, vous pouvez utiliser un plugin très simple:

<?php  # -*- coding: utf-8 -*-
/* Plugin Name: No admin short URLs */

remove_action( 'template_redirect', 'wp_redirect_admin_locations', 1000 );

Je pense que c'est la sécurité par l'obscurité - rien de grave.

— fuxia
source

J'ai de nombreux sites qui en reçoivent des milliers certains jours, c'est entièrement automatisé

— Tom J Nowell

Nous avons également vu une augmentation marquée des lock-out sur nos sites WordPress, rejoignez le club @Minapoli.

— Andrew Bartel

J'utilise et j'adore limiter les tentatives de connexion, mais dans ce cas, cela n'aidera pas complètement, car le botnet semble être assez averti uniquement pour essayer une poignée de tentatives avec une adresse IP donnée. Ainsi, il contourne efficacement le verrouillage par IP engagé par les échecs de connexion répétés.

— Chip Bennett

@Chip Bennett, il semble n'essayer que 'aaa', 'administrateur' et 'admin' sur nos sites, voyez-vous d'autres noms d'utilisateurs ciblés?

— Andrew Bartel

@RRikesh Pas sûr. siteurl/loginRedirige généralement vers la page de connexion correcte.

— fuxia

En plus des ressources toscho énumérées dans sa réponse, vous pouvez également utiliser l'authentification HTTP de base de PHP pour protéger par mot de passe wp-admin et ou wp-login.php pour bloquer l'accès à wp-login.php.

Je viens de publier un plugin qui fait cela pour vous avec le blocage des demandes No-Referrer. (Le bloc No-Refrrer ne fonctionne pas actuellement pour les sites installés dans un sous-répertoire).

— Chris_O
source

Notez que cela verrouillera les utilisateurs avec PHP exécuté par (Fast-) CGI.

— fuxia

Merci pour ça! Cela fonctionne sur PHP-FPM mais après la recherche, je vois que cela ne fonctionnera pas lorsque php exécute CGI / SuExec, je vais devoir faire une mise à jour rapide pour désactiver le plugin dans cet environnement.

— Chris_O

Vous pouvez protéger votre administrateur WordPress en suivant les méthodes suivantes.

Ajoutez des chiffres, des caractères spéciaux et des alphabets dans votre mot de passe administrateur puis créez un mot de passe fort
Si vous avez plus d'enregistrements dans votre base de données, cela ralentira vos sites Web. Cela peut donc être évité en ajoutant une image captcha dans votre page wp-admin. Certains plugins sont disponibles pour cela. Comme https://wordpress.org/plugins/wp-limit-login-attempts/

— Arshid KK
source