Intereting Posts
Избранные изображения, не показывающие Как создать пограничный фильтр Post Post с помощью мета запроса Изменение порядка фильтров Сортировка продуктов Woocommerce по категориям и атрибутам Сделать теги облачных тегов согласованными Как получить почтовое имя на пользовательской странице? Короткие коды, буферизация вывода и функции WordPress Расширенные пользовательские поля: сортировка собственных столбцов с настраиваемыми полями сортируется только по дате Есть ли способ удалить плагины на панели управления – где вы не можете определить пул по имени плагинов? Как выполнить загрузку скрипта после jquery? Как применять категории сообщений по умолчанию для подключения плагина-менеджера Как сбросить отображение редактора WYSIWYG Пустая папка создается WordPress, разбивает сайт Показать сообщение по заказу меню Кажется, что у стандартного импортера WordPress отсутствуют изображения блога

Невозможно остановить хакера, пытаясь получить доступ администратора в блоге WordPress после многократного использования

У меня есть самостоятельный блог WordPress, и в течение нескольких недель кто-то пытался войти в систему как администратор. Я ищу способ остановить это. Поскольку я начал блокировать исходный IP-адрес, попытки начали поступать от многих IP-адресов, но в партиях из трех или четырех попыток с интервалом в 10 минут – так что, очевидно, один человек, и я думаю, что они используют бот-сеть.

Я использую несколько шагов безопасности и обновляю все плагины. Конечно, WordPress автоматически обновляется в наши дни.

Это не все мои действия безопасности, но у меня есть … – «Limit Login Attempts», но переключение IP-адреса хакером означало, что это не оказало большого эффекта.

  • Я защищаю паролем каталог wp-admin с htaccess и htpasswd. Поскольку это было на месте в течение длительного времени, я просто изменил это имя пользователя и пароль доступа к каталогу, но это не имело значения, он все равно попадает в диалоговое окно входа в систему.

  • Конечно, моя учетная запись администратора WP не называется «admin», и я удалил оригинальный администратор a / c.

  • Некоторое время я даже пытался переименовать wp-login.php и переместил wp-admin из каталога блога. Для меня быстро и легко изменить это, когда я хочу вести блог или вносить изменения. Но Limit Login Attempts все еще сообщал о попытках – 21, так как я переименовал / переместил их. Как это возможно? Я вернул их в обычное место.

  • Я добавил это в .htaccess в главном каталоге блога (где nnn и т. Д. Мой фиксированный IP и example.com заменяет реальный домен):

    RewriteCond %{REMOTE_ADDR} !^nnn\.nnn\.nnn\.nnn$ RewriteRule ^wp-(login|register)\.php http://www.example.com/blog/ [R,L] 
  • и я добавил вариант этого в .htaccess в каталоге wp-admin в блоге:

     RewriteCond %{REMOTE_ADDR} !^nnn\.nnn\.nnn\.nnn$ RewriteRule ^wp-admin.*?$ http://www.example.com/blog/ [R,L] 

Когда я пытаюсь войти с другого IP-адреса через wp-login.php, первый htaccess корректно шунтирует меня прямо на главную страницу блога. Точно так же, когда я пытаюсь получить доступ к wp-admin из этого другого IP-адреса, второй htaccess выводит меня прямо на главную страницу блога, как и должно. Только когда я пытаюсь войти с моего фиксированного IP-адреса, я вижу запрос на доступ к каталогу passwd, а затем страницу входа WP.

И все же хакер может достичь диалога входа в систему. Ему еще не удалось войти в систему, я запустил WordPress File Monitor и не вижу неожиданных изменений в файлах, и он не обнаружил подлинное имя администратора, но я не могу успокоиться.

Итак, кто-нибудь может мне помочь понять:

  1. Как хакер все еще может попасть на страницу входа? Даже когда wp-login.php и wp-admin были временно переименованы / перемещены? Я очистил кеш и отключил суперкаши несколько дней назад (и переименовал wp-super-cache) на случай, если страницы в кеше позволят им достичь этого.

  2. Что я могу сделать, чтобы остановить это? У меня есть полный доступ к родительскому сайту (общий хостинг) и базе данных MySQL.

Одна вещь, которую вы можете сделать, – это если у вас нет веб-сайта членства, сделайте так, чтобы wp-admin / wp-login можно было открыть через ваш IP-адрес и заблокировать все остальные IP-адреса. Но убедитесь, что у вас нет веб-сайта членства (нет других подписчиков / издателей, которые могут войти в систему. Только вы являетесь пользователем, чтобы войти в систему.)

Другое, что вы можете сделать, это использовать «CDN», например, cloudflare, который будет фильтровать IP-адреса, прежде чем доходить до вашего сервера. Это сделает ваш сайт быстрым.

Надеюсь это поможет.

Вы можете бежать, но вы не можете спрятаться – Тейлор Вагнер

Вы не можете запретить кому-либо пытаться взломать ваш сайт. Хакеры используют много программного обеспечения / ботов / методов, чтобы найти ваш сайт и взломать его ( как это работает, откровенно дорога выше меня ), и вы не можете «спрятаться» от этого. Эти программы / боты «угадывают» URL-адреса на вашем сайте, поэтому они не знают, где ваша страница входа в систему находится справа. Это в основном угадывание игры, которая продолжается до тех пор, пока предположение не будет правильным.

Если вам это не нравится, сознательно или неосознанно, вас бомбардируют многие попытки взлома в день, и вы не можете его остановить. Вы можете только надеяться, что ваши текущие меры ( например, использование хороших плагинов безопасности, надежные пароли, обновление PHP и WordPress до совершенства, написание «безопасного» кода и никогда не доверяющий каким-либо типам пользовательских входов, которые вы сами включаете ) достаточно хороши для атака. Вам нужно помнить, что ни один код на платформе или языке никогда не защищен от взлома, каждый фрагмент кода может быть взломан, вы можете сделать так, чтобы хакеры могли получить доступ к вашему сайту через ваш код или логин страницы.

Не переставая беспокоиться о попытке скрыться от хакеров, то, что вы сделали до сих пор, – это столько, сколько вы можете сделать, чтобы предотвратить «обнаружение». Скорее потратьте время на то, чтобы сделать так же сложно, как вы можете для кого-то или чего-то, чтобы получить доступ к вашему сайту.