И опять атака на сайты WordPress — перебор + XMLRPC

в 9:49, , рубрики: wordpress, атака, информационная безопасность

С полудня субботы на моем сервере где хостится около 25 сайтов на WordPress начались дикие тормоза. Так как мне удалось пережить предыдущие атаки (атака 1 ровно год назад, атака 2 в марте) не замеченными, то я не сразу понял в чем дело.

Когда разобрался, то выяснилось, что идет перебор паролей + множество запросов к XMLRPC.

В результате удалось это все отсечь, хотя и не сразу. По катом три простых приема как этого избежать.

Эти приемы скорее всего всем известны, но я наступил на пару граблей, которых не нашел в описаниях и вдруг это кому-то сэкономит время.

1. Останавливаем перебор, плагин Limit Login Attempts — ставим именного его, так другие защиты сильно подвешивают сервер, например, при использовании плагина Login Security Solution сервер умер через полчаса, плагин сильно грузит базу.
В настройке обязательно включите галочку «За прокси» — иначе он будет для всех определять ip вашего сервера и автомат блокировать всех.

И опять атака на сайты Wordpress — перебор + XMLRPC

2. Отключаем XML-RPC — плагин Disable XML-RPC (его просто активировать и всё)

3. Закрываем wp-login.php — если обращаться к сайту через ip, то плагин не срабатывает и подборщики продолжают долбить сайт. Чтобы этого избежать в .htaccess добавляем

<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>

файл wp-login копируем, переименовываем в любое странное имя, например poletnormalny.php и внутри файла автозаменой меняем все надписи wp-login.php на poletnormalny.php
Все, теперь к админке можно обратиться только по вашему файлу.

После этих 3 несложных шагов сайты опять начали летать и пришло спокойствие.

Ну и вдруг интересно

Один из вариантов как посмотреть, что вас атакуют. Это можно увидеть в логах nginx (например вот путь для Debian /var/log/nginx файл access.log).

Если идет перебор, то вы увидите множество строк вида
87.230.87.xx — - [04/Aug/2014:06:35:53 +0400] «POST /wp-login.php HTTP/1.0» 200 5791 "-" "-"

Запросы XMLRPC
95.0.83.xx — - [04/Aug/2014:06:48:03 +0400] «POST /xmlrpc.php HTTP/1.0» 499 0 "-" «Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)»

Автор: awaik

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js