Intereting Posts
Совет WordPress для плагинов get_query_var ('post_type') не возвращается в фильтр Как добавить подстраницу настроек из плагина на страницу настроек, созданную в теме? Вход в WordPress Когда ссылки не существует, как сказать WordPress, что делать? (404 Страница ошибки) Создание различных элементов галереи галереи границ Как я могу идентифицировать медиа, загруженные на мой сайт, который больше не используется? Различия между Jigoshop и WooCommerce Переименовать пункты меню для всех, кроме супер администратора Как проверить возможность пользователя при загрузке страницы (через functions.php)? Как вставить скрипты в правильный путь в плагине? Понимание того, как ссылки будут работать, когда DNS изменится, чтобы указать на новый сайт WordPress Как получить настраиваемые поля профиля, связанные с разными пользователями Возможность установки статической передней страницы исчезла из настроек чтения admin Добавьте возможности к роли, поэтому пользователь может просматривать только свои собственные сообщения

Какие способы можно использовать для входа в WordPress?

FYI: Это также было опубликовано здесь, так как я довольно новичок на этом сайте и не знал, что существует часть WordPress. Извините за сообщение.

В настоящее время я пытаюсь закрепить безопасность для веб-сайта, работающего на WordPress (отдельная установка, а не на wordpress.org / .com). Я установил Wordfence, который блокирует все IP-адреса, которые пытаются использовать неверное имя пользователя, которое работает очень хорошо (около 200 + заблокированных IP-адресов / день).

Поскольку наш интернет-провайдер выдаёт имена хостов, такие как

www-xxx-yyy-zzz.my.isp.tld 

и нет пользователей, которые должны войти в систему помимо меня. Я думал, что добавлю способ предотвратить атаки грубой силы.

WP Codex имеет раздел о предотвращении доступа к wp-login.php для тех, кто не отправляет его в форму. В моих глазах это должно избавиться от любых скриптов, которые пытаются переборщить с их помощью:

 www.mydomain.tld/wp-admin.php?log=admin&pwd=alex 

Теперь для тех, кто отправляет форму, это не сработает, поэтому я добавил часть наверху wp-login.php которая будет проверять имя хоста, а затем перенаправлять, если она не соответствует нашему интернет-провайдеру:

 <?PHP if (strpos(gethostbyaddr($_SERVER['REMOTE_ADDR']),'my.isp.tld') == false) { header('Location: http://www.google.com/'); } ?> 

Я проверил его, и эта часть работает нормально, когда я пытаюсь получить доступ к wp-login.php по моему мобильному wp-login.php он возвращает меня в Google, кроме того, я получаю электронное письмо, когда кто-то пытается это сделать. До сих пор мне не удалось использовать этот метод 3-4 попытки входа в систему.

Теперь, с моей точки зрения, я позаботился обо всех вещах, но Wordfence все равно отправит мне уведомления о заблокированных попытках входа в систему.

Чтобы убедиться, что это помогает, я добавил следующее в файл .htaccess, который находится в главной папке WordPress, что, на мой взгляд, должно лишить всех доступа, кроме случаев, когда я пришел от моего интернет-провайдера:

 <Files "wp-login.php"> order deny,allow allow from my.isp.tld </Files> 

Тем не менее полетят электронные письма. Теперь вопрос:

Есть ли какой-либо другой способ вызвать wp-login.php , чтобы попытаться войти в систему, на которую у меня нет? Похоже, что есть еще способы, которые могут быть использованы, которые не являются частью описанных выше сценариев.

Как прокомментирован в другом вопросе: IP-адреса с неудачными попытками не подделываются под мой.

Любые идеи, комментарии и т. Д. Очень ценятся.

Так долго

Solutions Collecting From Web of "Какие способы можно использовать для входа в WordPress?"

написал что-то долгое и решил удалить, потому что Tl; Dr использует хороший пароль и перестает притворяться, что имеет знания в том, как защищать сайты, вы, скорее всего, снижаете производительность сайта (ваш обратный DNS-код) или блокируете а затем фактически предотвращать атаку.

Безопасность – это контекст, и в контексте атаки WordPress грубая сила, вероятно, является наименее из ваших забот, это не помешало бы вам взломать через http://wptavern.com/wordpress-security-alert-new-zero- день уязвимость обнаруженный-в-timthumb-скрипт

или http://wptavern.com/critical-security-vulnerability-found-in-wordpress-slider-revolution-plugin-immediate-update-advised

или https://blog.sucuri.net/2015/10/security-advisory-stored-xss-in-jetpack.html

И, прежде чем даже попасть в плагины, возможно, я должен был спросить, является ли ваш хостинг защищенным? (не могу найти ссылку и не помню, какая большая хостинговая компания была взломана)

Ответ на мой вопрос о других возможностях входа был дан в вопросе, опубликованном birgire .

Оказывается, после отключения любого удаленного доступа к xmlrpc.php атаки снизились до нуля.

Однако это может иметь серьезные последствия для вашего сайта, поскольку оно используется, например, jetpack среди других, и я поэтому не рекомендую его.

Как уже упоминалось, Марк Каплун, вероятно, есть другие, более серьезные атаки, и из анализа моих журналов эти атаки грубой силы, с которыми я столкнулся, очень просты и не будут иметь шансов, когда вы выполните следующее:

  • Измените имя пользователя admin на что-либо еще, кроме "admin"
  • Использовать правильные пароли