Атака на WordPress блоги

Категории: Безопасность

В сети появилось множество сообщений о атаке которая проводится на блоги и сайты под управлением WordPress. Суть атаки заключается в том, что огромное количество ботов более 90000 компьютеров со всего мира, пытаются подобрать пароль к пользователю admin.

Если у вас установлен очень простой пароль для этого пользователя, значит ваш блог может быть взломан. Для того чтобы уберечь свой сайт от плохих последствий этой атаки рекомендую:

  1. Почитайте статью 20 советов по безопасности WordPress.
  2. Смените имя пользователя admin на любое другое (это уже исключит вариант подбора пароля)
  3. Смените пароль на более сложный
  4. Установите плагины которые блокируют доступ к блогу, после нескольких неудачных попыток ввода пароля (Login Lockdown один из таких плагинов или Limit Login Attempts)
  5. Если у вас выделенный сервер, установите на него программу fail2ban с необходимыми настройками, которая будет блокировать доступ на сетевом уровне.

Также если ваш хостинг ограничивает ресурсы сервера, вы можете получить сообщение о том, что ваш сайт производит сильную нагрузку на сервер, связано это с тем, что множество компьютеров одновременно пытаются вводить пароли для доступа на ваш сайт,  в этом случае имеет смысл закрыть доступ к файлу wp-login.php с помощью дополнительного пароля (обратитесь в тех. поддержку если не знаете как это сделать).

Если у вас возникли какие-то вопросы или дополнения по данной теме, пишите в комментариях.

Комментарии: 8Напишите свой комментарий!

  1. Rulik Написал(а):

    На днях получил от хостера сообщение, что сайт использует много ресурсов. От плагина Limit Login Attempts никаких сообщений не было.

    Как найти причину повышенной нагрузки?

  2. Dmitriy Donchenko Написал(а):

    1. У нормальных хостеров, как правило есть пунктик: нагрузка сайта на сервер, у хороших хостеров есть пунктик, нагрузка по URL. И там видно кто грузит сервер.

    2. Если хостер не нормальный, тыкая пальцем в небо закрываем доступ к файлу wp-login.php с помощью пароля через .htaccess

    3. Меняем хостера :)

  3. Otshelnik-fm Написал(а):

    Вчера была большая ддос атака на разные хостинги. Атаковали вордпресс файл wp-login.php (сам попал на 4х кратное превышение лимитов хостинга)

    Много советов как задать пароль этому файлу, и что можно order allow,deny прописать айпи с которого ты заходишь. Все остальные айпишники не будут иметь к файлу логина доступ.

    У меня динамический айпи и поэтому мне сначала надо зайти по ftp, поменять на действующий в данный момент айпишник... геморой, но решаемый.

    А как сделать если пользователей на сайте 100 и больше? в .htaccess все айпи не пропишешь. Как в этом случае решить проблему при атаках?

    Может быть есть варианты сделать на php страницу с регистрацией, она и будет отрабатывать взамен wp-login.php? а в wp-login.php написать wp_die ()?

  4. Dmitriy Donchenko Написал(а):

    В таком случае просто пропишите через .htaccess дополнительный логин и пароль, например admin admin или что-то свое, и этого будет достаточно.

  5. Александр Жук Написал(а):

    Спасибо за советы. Кое-что уже сделал, а что-то для меня новое — обязательно внедрю. Спасибо.

  6. Анна Написал(а):

    Да, спамботы доставляют множество неудобств. Нам на Eskhosting также пришлось на все wordpress (а их у нас хостится несчетное количество) ввести дополнительную пре-авторизацию.

  7. Катя Написал(а):

    Вроде стандартные же правила. К сожалению или к счастью много чего из написанного знакомо и применяется многими опытными владельцами WP-блогов и мною в их числе, а вот для начинающих вебмастеров данный материал будет очень полезен, так как заставит серьезнее задуматься об безопасности своего детища)

  8. Сергей Написал(а):

    Здравствуйте!

    Вы пишите:Если хостер не нормальный, тыкая пальцем в небо закрываем доступ к файлу wp-login.php с помощью пароля через .htaccess.

    Я новичек, можно сказать «чайник». Расшифруйте, как закрыть доступ к файлу wp-login.php с помощью пароля через .htaccess. Может быть дадите ссылку на статью, где это описано подробно и понятно.

Оставьте комментарий Ваш шанс быть услышанным!