Сейчас в интернете бушует одна из сильнейших атак на wp-login.php, а также в том числе атакуют админки Джумлы и ДЛЕ.
По данным некоторых хостингов атака идет в 14-17 тысяч IP. Многие хостинги не выдержали нагрузки и упали. Многие еще держатся, но часто отдают 502 и 503 ошибку.
Как вы понимаете — беда не обошла в том числе и меня.
Данная Ddos атака началась приблизительно с апреля, но количество IP было не большим поэтому никакой угрозы атака не представляла.
В случае подбора пароля к вам заливается шелл, далее и ваш сайт начинает участвовать в взломе других сайтов. Такой себе не большой ботнет.
Так как многие пользователи используют виртуальные хостинги — нагрузка сильно увеличилась, с проблемой уже пытаются справиться сами хостеры. Что же можно сделать самому для защиты?
Первое — это закрыть доступ для всех IP, кроме вашего. Для этого делаем так:
Создаем в папке site.com/wp-admin/ файл .htaccess с таким содержимым.
order deny,allow
deny from all
allow from 12.34.36.11
таким запросом в Яндекс .
Данный метод очень хорош тем, что запрос обрабатывается на уровне хостинга и не создает нагрузку на сайт.
Далее рекомендую установить в wordpress посложнее пароль с использованием цифр, букв , не менее 8 символов. Не создавайте простые пароли , чтобы вас не взломали.
Хорошим способом также является смена логина администратора с стандартного admin на уникальный.
Не ждите пока ваш сайт взломают, защитите админку.
П.С. — в посте о Скрытом Яке обещал отдать домен в скрытом Яке. Frei, отпишись с своего мыла, отдам заслуженный подарок.
П.С. на блоге отвалились больше чем 500 человек, подписанных через умерший Google Reader. Прикольно наблюдать, как на многих топовых блогах значения счетчиков нисколько не упало. Теперь видно конкретно, что народ банально накручивал себе показатели.
35 комментариев
для пробы ставил плагины для WP оганичивающие количество попыток входа, но кажется что блокировка по IP — самая универсальная, без дополнительной нагрузки на хостинг и все такое.
Сношу плагины.
Столкнулся с WordPress редиректом, если сделать так как у тебя написано. Порыл — ответа не нашел, остался на плагине пока. Ты сам-то пробовал в админку с другого IP заходить ? Или это у меня хостер такой ?
«Эта веб-страница содержит бесконечное перенаправление»
У тебя то же самое: На странице обнаружена циклическая переадресация
Пороверять же надо =)
Мне сам хостер внёс изменения в .htaccess и прислал инструкцию с дальнейшими действиями.
Собственно вот они:
CMS Joomla
order deny,allow
deny from all
#allow from My_IP
CMS WordPress
order deny,allow
deny from all
#allow from My_IP
Для получения доступа необходимо в секции «» в строке «#allow from My_IP» убрать знак «#» и вместо «My_IP» прописать внешний IP-адрес компьютера, с которого производится работа с административной панелью сайта.
Мож кому пригодится!
Самое нужное не прошло в 1м комментарии, сделал скрин _https://s020.radikal.ru/i714/1308/69/14e3a1feb0d5.png
Это работающая защита у хостера, так что скажи спасибо им =)
Я им писал по поводу переадресации, они сказали, что это их работа =)
Lockdown WP — переименовать админку + еще Wordfence — блокировка на 2 часа после двух неудачных попыток ввода пароля. а ip у меня динамический, так что не вариант
Слышал еще о взломе Joomla, вроде тоже идет волна…
Ставьте плагин Better wp security https://wordpress.org/plugins/better-wp-security/
и настраивайте ограничения доступа к wp-login.php по ip из админки.
Также умеет блокировать ip после неудачных попыток входа.
Очень удобно.
Всем добра!
У меня хостеры сами у всех закрыли доступ в админки, просят переименовывать файлы.
У меня сейчас тоже была под блоком. Далее попросил на время разблочить для установки самой защиты. До этого мой блог лежал вообще под 403 ошибкой :(
Так вот оно что.. У меня на хостинге те сайты, которые на вордпрессе боты «атакуют» уже 5-день.
Я делал немного по другому т.к. мой постоянный ip имеет свойство время от времени меняется. В .htaccess закрыл паролем wp-login.php. Сайт атакуют но нагрузки нет.
Я тоже имею динамический IP и пробовал реализовать защиту через
1)плагин для WordPress
2) установка пароля на wp-admin/
3) вариант с установкой куков.
К сожалению все эти методы конфликтуют с защитой от хостинга. В данный момент никакие действия с файлом wp-login.php мне не доступны.
У меня в URL (предыдущий пост) ссылка на статью где довольно подробно описал. Попробуй. С хостингом не должно быть конфликтов. И никаких действий с wp-login.php делать не нужно.
В корневом разделе сайта создается файл .htpasswd (в нем храниться шифрованный пароль и логин). В папке с сайтом, в файл .htaccess добавляется примерно вот такой код:
AuthName “Private”
AuthType Basic
AuthUserFile /hsphere/local/home/ваш_username/.htpasswd
Require valid-user
Что это дает? Хостингом блокируется попытка бота войти в админку. То есть, бот не может подбирать пароль к админке (и создать тем самым нагрузку на сайт) пока не введет правильный логин и пароль доступа к wp-login.php
На двух разных хостингах работает отлично. Проблема полностью решилась. Буду рад если и другим пригодится.
Я его пробовал, у меня от номером 2) помечен.
он конфликтует с защитой самого хостинга.
У меня конкретно отдается 403 ошибка, а иногда просто белый экран без ошибок.
Нужно понимать, что сам хостинг заботится о защите ваших сайтов(я надеюсь вам такой попался).
И у них свой метод фильтрации трафа, который льется на файл wp-login.php
Метод в Статье самый простой и удобный на тот случай, если хостинг не предпринимает никаких действий по защите.
Кстати сейчас проверил свой сайт — у меня при непрямом обращении к wp-admin/произвольный файл.php отдается 404 ошибка, что самое обидное — обрабатывается самим сайтом.
Но так как лог файл не растет — мысль говорит о том, что основной трафик фильтруется раньше, боты не пробивают защиту хостинга.
Кстати, как я заметил саму атаку — в ее момент у меня резко начали расти логи(log файлы с ошибками), иногда за сутки до 60мб.
На мой взгляд, если на хостинге нельзя задать серверную авторизацию через .htaccess, то такой хостинг — г.
Мои сайты защитил сам хостер (СпейсВеб). Самостоятельно прописал код упомянутый выше. Мне только осталось поставить свой IP. 8)
На счет Google Reader, то это то же самое, что и FeedBurner?
Потому что у меня FeedBurner уже давненько не работает, полгода наверное, и не знаю, в чем проблема. Но в других людей вроде работает… Настройки пересмотрел — не помогло
Не совсем то же самое. GR — это читалка, как Яндекс подписки.
FB — такой себе агрегатор- счетчик. у меня кстати вроде все работает, пару месяцев назад заходил туда.
У меня ни одного накрученного подписчика, но данные в Feedburner тоже не упали
Такое возможно в некоторых случаях, например если люди набирались только через email подписку или Яподписки.
В таком случае падению будет, но небольшое.
Я перед падением зашел в Feedburner и посмотрел долю подписанных через GR.
Их было порядка 30%
ровно на столько у меня и отвалился ридер, все правильно.
Еще пример — 9seo.ru было 1300 подписчиков стало 500 человек.
Devaka — минус 2694
Terehoff — минус 2169
И все же, даже если защита сайта,- дело хостера, все равно не должно быть постоянного редиректа. Ты посмотри у тебя если зайти на Админку , то твой браузер будет 302 редиректиться все время. Если Боты — это настроенные браузер, то попытка обратиться к твоей Админке обернется другой но затянутой нагркой, потому что браузеры долбят 2-5 раз в секунду в течении 30 секунд.
Надо твой вариант поправить как-то, но как незнаю.
Была попытка взлома и на моем блоге. Получил предупреждение от хостера, что следует защищаться. Защитился.
Но вот, что интересно, массовый перебор паролей начался буквально на днях, а сообщения о неудачных попытках войти, на почту приходили ещё за месяц до шумихи. Возможно тогда они только тестировали по тихому?
Первые сообщения об этой атаке появились еще в апреле.
Не хватило у них возможностей быстро сбрутить много админок, вернулись более подкованные :(
Я просто сменил само имя файла wp-login.php на случайныесимволы.php
Нагрузку это не снимает
Вот это снимет:
#Защищаем файл wp-login.php
Order Deny,Allow
Deny from all
Allow from 255.255.255.255 # тут разрешенный IP
Allow from 255.255.255.255 # тут разрешенный IP
# Отсылаем нафик при попытке захода в запрещенные места
ErrorDocument 403 #редирект на несуществующий адрес
Вот это снимет:
#Защищаем файл wp-login.php
<files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 255.255.255.255 # тут разрешенный IP
Allow from 255.255.255.255 # тут разрешенный IP
</files>
# Отсылаем нафик при попытке захода в запрещенные места
ErrorDocument 403 #редирект на несуществующий адрес
Сорри за дабл, автор, удалите предыдущий, там код не отобразился — ВП съел.
Хе-хе, ровно 1:1 сделал (закрыл по IP админку) и написал статью в блоге 6 августа. :)
Кстати, чтоб еще снизить шансы на нагрузку при подобной атаке, добавил в корневой ХТАКЦЕСС строку:
ErrorDocument 403 #редирект на несуществующий адрес
Т.е. при попытки захода в админку с иного IP — сразу нафиг с сайта. *CRAZY*
Даже если IP динамический — разве нельзя указать маску своей сети ?
2 дня меня в админку тоже кто-то подалбывает.
Например у меня интернет от Utel , тут порядка 15 подсетей. IP отличается полностью.
Сейчас захожу на свой сайт постоянно пробивая IP и переписывая .htaccess. :(
Ребят а что мешает заменить путь для входа в админку ?! Мне кажется самый лучшый способ решения проблемы если втупую атакуют wp-login.php и питаются войти в админку по привычному урлу вордпреса вашсайт.ru/wp-login.php.
Кстати я так и сделал с помощью плагина который дает возможность делать вход в админку, именно такой как вам нравится и тогда уж ети боты точно ничего не сделают ! 8)
Так можно же просто скрыть ажминку и все. Плагины для безопасности в помощь, там же лимит на количество неудачных попыток и 404. Better WP Security мощная вещь.
А как же зайти в админку, если она заблокирована? С осени не входил, а сейчас потребовалось. Ввожу пароль а в ответ требуют Subdomain Authorization.
По всей видимости хостинг установил пароль на доступ. Обратитесь к суппорту хостинга с подобным вопросом.