В сети появилось множество сообщений о атаке которая проводится на блоги и сайты под управлением WordPress. Суть атаки заключается в том, что огромное количество ботов более 90000 компьютеров со всего мира, пытаются подобрать пароль к пользователю admin.
Если у вас установлен очень простой пароль для этого пользователя, значит ваш блог может быть взломан. Для того чтобы уберечь свой сайт от плохих последствий этой атаки рекомендую:
- Почитайте статью 20 советов по безопасности WordPress.
- Смените имя пользователя admin на любое другое (это уже исключит вариант подбора пароля)
- Смените пароль на более сложный
- Установите плагины которые блокируют доступ к блогу, после нескольких неудачных попыток ввода пароля (Login Lockdown один из таких плагинов или Limit Login Attempts)
- Если у вас выделенный сервер, установите на него программу fail2ban с необходимыми настройками, которая будет блокировать доступ на сетевом уровне.
Также если ваш хостинг ограничивает ресурсы сервера, вы можете получить сообщение о том, что ваш сайт производит сильную нагрузку на сервер, связано это с тем, что множество компьютеров одновременно пытаются вводить пароли для доступа на ваш сайт, в этом случае имеет смысл закрыть доступ к файлу wp-login.php с помощью дополнительного пароля (обратитесь в тех. поддержку если не знаете как это сделать).
Если у вас возникли какие-то вопросы или дополнения по данной теме, пишите в комментариях.
23.04.2013 - 2:18 пп
На днях получил от хостера сообщение, что сайт использует много ресурсов. От плагина Limit Login Attempts никаких сообщений не было.
Как найти причину повышенной нагрузки?
23.04.2013 - 2:22 пп
1. У нормальных хостеров, как правило есть пунктик: нагрузка сайта на сервер, у хороших хостеров есть пунктик, нагрузка по URL. И там видно кто грузит сервер.
2. Если хостер не нормальный, тыкая пальцем в небо закрываем доступ к файлу wp-login.php с помощью пароля через .htaccess
3. Меняем хостера :)
03.08.2013 - 10:26 пп
Вчера была большая ддос атака на разные хостинги. Атаковали вордпресс файл wp-login.php (сам попал на 4х кратное превышение лимитов хостинга)
Много советов как задать пароль этому файлу, и что можно order allow,deny прописать айпи с которого ты заходишь. Все остальные айпишники не будут иметь к файлу логина доступ.
У меня динамический айпи и поэтому мне сначала надо зайти по ftp, поменять на действующий в данный момент айпишник… геморой, но решаемый.
А как сделать если пользователей на сайте 100 и больше? в .htaccess все айпи не пропишешь. Как в этом случае решить проблему при атаках?
Может быть есть варианты сделать на php страницу с регистрацией, она и будет отрабатывать взамен wp-login.php? а в wp-login.php написать wp_die()?
06.08.2013 - 6:27 дп
В таком случае просто пропишите через .htaccess дополнительный логин и пароль, например admin admin или что-то свое, и этого будет достаточно.
06.08.2013 - 2:47 дп
Спасибо за советы. Кое-что уже сделал, а что-то для меня новое — обязательно внедрю. Спасибо.
17.09.2013 - 4:32 пп
Да, спамботы доставляют множество неудобств. Нам на Eskhosting также пришлось на все wordpress (а их у нас хостится несчетное количество) ввести дополнительную пре-авторизацию.
16.04.2014 - 2:08 пп
Вроде стандартные же правила. К сожалению или к счастью много чего из написанного знакомо и применяется многими опытными владельцами WP-блогов и мною в их числе, а вот для начинающих вебмастеров данный материал будет очень полезен, так как заставит серьезнее задуматься об безопасности своего детища)
25.07.2014 - 8:35 пп
Здравствуйте!
Вы пишите:Если хостер не нормальный, тыкая пальцем в небо закрываем доступ к файлу wp-login.php с помощью пароля через .htaccess.
Я новичек, можно сказать «чайник». Расшифруйте, как закрыть доступ к файлу wp-login.php с помощью пароля через .htaccess. Может быть дадите ссылку на статью, где это описано подробно и понятно.