Массовый взлом и ddos атака на wp-login.php

Сейчас в интернете бушует одна из сильнейших атак на wp-login.php, а также в том числе атакуют админки Джумлы и ДЛЕ.
По данным некоторых хостингов атака идет в 14-17 тысяч IP. Многие хостинги не выдержали нагрузки и упали. Многие еще держатся, но часто отдают 502 и 503 ошибку.
Как вы понимаете – беда не обошла в том числе и меня.
Данная Ddos атака началась приблизительно с апреля, но количество IP было не большим поэтому никакой угрозы атака не представляла.

Сейчас же атака идет в 14-17К уникальных IP, с которых идет попытка подобрать ваш пароль к админке.

В случае подбора пароля к вам заливается шелл, далее  и ваш сайт начинает участвовать в взломе других сайтов. Такой себе не большой ботнет.
Так как многие пользователи используют виртуальные хостинги – нагрузка сильно увеличилась, с проблемой уже пытаются справиться сами хостеры. Что же можно сделать самому для защиты?
Первое – это закрыть доступ для всех IP, кроме вашего. Для этого делаем так:
Создаем в папке http://site.com/wp-admin/ файл .htaccess с таким содержимым.

order deny,allow
deny from all
allow from 12.34.36.11

Где 12.34.36.11 – ваш IP. Узнать ваш IP можно например
таким запросом в Яндекс .

Данный метод очень хорош тем, что запрос обрабатывается на уровне хостинга и не создает нагрузку на сайт.

Далее рекомендую установить в wordpress посложнее пароль с использованием цифр, букв , не менее 8 символов. Не создавайте простые пароли , чтобы вас не взломали.
Хорошим способом также является смена логина администратора с стандартного admin на уникальный.
Не ждите пока ваш сайт взломают, защитите админку.

П.С. – в посте о Скрытом Яке обещал отдать домен в скрытом Яке. Frei, отпишись с своего мыла, отдам заслуженный подарок.

П.С. на блоге отвалились больше чем 500 человек, подписанных через умерший Google Reader. Прикольно наблюдать, как на многих топовых блогах значения счетчиков нисколько не упало. Теперь видно конкретно, что народ банально накручивал себе показатели.

Поделись в социальных сетях

AuthorЕвгений Молдовану

С 2007 года занимаюсь созданием контент проектов и их монетизацией. Seo специалист, блоггер и активный путешественник.

  1. для пробы ставил плагины для WP оганичивающие количество попыток входа, но кажется что блокировка по IP – самая универсальная, без дополнительной нагрузки на хостинг и все такое.

    Сношу плагины.

  2. Столкнулся с WordPress редиректом, если сделать так как у тебя написано. Порыл – ответа не нашел, остался на плагине пока. Ты сам-то пробовал в админку с другого IP заходить ? Или это у меня хостер такой ?

    “Эта веб-страница содержит бесконечное перенаправление”

    • У тебя то же самое: На странице обнаружена циклическая переадресация

      Пороверять же надо =)

    • Мне сам хостер внёс изменения в .htaccess и прислал инструкцию с дальнейшими действиями.

      Собственно вот они:

      CMS Joomla

      order deny,allow
      deny from all
      #allow from My_IP

      CMS WordPress

      order deny,allow
      deny from all
      #allow from My_IP

      Для получения доступа необходимо в секции “” в строке “#allow from My_IP” убрать знак “#” и вместо “My_IP” прописать внешний IP-адрес компьютера, с которого производится работа с административной панелью сайта.

      Мож кому пригодится!

    • Это работающая защита у хостера, так что скажи спасибо им =)
      Я им писал по поводу переадресации, они сказали, что это их работа =)

  3. Lockdown WP – переименовать админку + еще Wordfence – блокировка на 2 часа после двух неудачных попыток ввода пароля. а ip у меня динамический, так что не вариант

  4. Слышал еще о взломе Joomla, вроде тоже идет волна…

  5. Ставьте плагин Better wp security http://wordpress.org/plugins/better-wp-security/
    и настраивайте ограничения доступа к wp-login.php по ip из админки.
    Также умеет блокировать ip после неудачных попыток входа.
    Очень удобно.
    Всем добра!

  6. У меня хостеры сами у всех закрыли доступ в админки, просят переименовывать файлы.

    • У меня сейчас тоже была под блоком. Далее попросил на время разблочить для установки самой защиты. До этого мой блог лежал вообще под 403 ошибкой :(

  7. Так вот оно что.. У меня на хостинге те сайты, которые на вордпрессе боты “атакуют” уже 5-день.
    Я делал немного по другому т.к. мой постоянный ip имеет свойство время от времени меняется. В .htaccess закрыл паролем wp-login.php. Сайт атакуют но нагрузки нет.

    • Я тоже имею динамический IP и пробовал реализовать защиту через
      1)плагин для WordPress
      2) установка пароля на wp-admin/
      3) вариант с установкой куков.

      К сожалению все эти методы конфликтуют с защитой от хостинга. В данный момент никакие действия с файлом wp-login.php мне не доступны.

      • У меня в URL (предыдущий пост) ссылка на статью где довольно подробно описал. Попробуй. С хостингом не должно быть конфликтов. И никаких действий с wp-login.php делать не нужно.
        В корневом разделе сайта создается файл .htpasswd (в нем храниться шифрованный пароль и логин). В папке с сайтом, в файл .htaccess добавляется примерно вот такой код:

        AuthName “Private”
        AuthType Basic
        AuthUserFile /hsphere/local/home/ваш_username/.htpasswd
        Require valid-user

        Что это дает? Хостингом блокируется попытка бота войти в админку. То есть, бот не может подбирать пароль к админке (и создать тем самым нагрузку на сайт) пока не введет правильный логин и пароль доступа к wp-login.php
        На двух разных хостингах работает отлично. Проблема полностью решилась. Буду рад если и другим пригодится.

        • Я его пробовал, у меня от номером 2) помечен.
          он конфликтует с защитой самого хостинга.
          У меня конкретно отдается 403 ошибка, а иногда просто белый экран без ошибок.
          Нужно понимать, что сам хостинг заботится о защите ваших сайтов(я надеюсь вам такой попался).
          И у них свой метод фильтрации трафа, который льется на файл wp-login.php
          Метод в Статье самый простой и удобный на тот случай, если хостинг не предпринимает никаких действий по защите.
          Кстати сейчас проверил свой сайт – у меня при непрямом обращении к wp-admin/произвольный файл.php отдается 404 ошибка, что самое обидное – обрабатывается самим сайтом.
          Но так как лог файл не растет – мысль говорит о том, что основной трафик фильтруется раньше, боты не пробивают защиту хостинга.
          Кстати, как я заметил саму атаку – в ее момент у меня резко начали расти логи(log файлы с ошибками), иногда за сутки до 60мб.

          • На мой взгляд, если на хостинге нельзя задать серверную авторизацию через .htaccess, то такой хостинг – г.

  8. Мои сайты защитил сам хостер (СпейсВеб). Самостоятельно прописал код упомянутый выше. Мне только осталось поставить свой IP. 8)

  9. На счет Google Reader, то это то же самое, что и FeedBurner?
    Потому что у меня FeedBurner уже давненько не работает, полгода наверное, и не знаю, в чем проблема. Но в других людей вроде работает… Настройки пересмотрел – не помогло

    • Не совсем то же самое. GR – это читалка, как Яндекс подписки.
      FB – такой себе агрегатор- счетчик. у меня кстати вроде все работает, пару месяцев назад заходил туда.

  10. Для тех, кто пользовался Гугл Ридером, вот альтернатива http://theoldreader.com/

  11. У меня ни одного накрученного подписчика, но данные в Feedburner тоже не упали

    • Такое возможно в некоторых случаях, например если люди набирались только через email подписку или Яподписки.
      В таком случае падению будет, но небольшое.
      Я перед падением зашел в Feedburner и посмотрел долю подписанных через GR.
      Их было порядка 30%
      ровно на столько у меня и отвалился ридер, все правильно.
      Еще пример – 9seo.ru было 1300 подписчиков стало 500 человек.
      Devaka – минус 2694
      Terehoff – минус 2169

  12. И все же, даже если защита сайта,- дело хостера, все равно не должно быть постоянного редиректа. Ты посмотри у тебя если зайти на Админку , то твой браузер будет 302 редиректиться все время. Если Боты – это настроенные браузер, то попытка обратиться к твоей Админке обернется другой но затянутой нагркой, потому что браузеры долбят 2-5 раз в сукунду в течении 30 секунд.
    Смотри http://jkeks.ru/capture/2013/2013-08-06_110641.jpg

    Надо твой вариант поправить как-то, но как незнаю.

  13. Была попытка взлома и на моем блоге. Получил предупреждение от хостера, что следует защищаться. Защитился.
    Но вот, что интересно, массовый перебор паролей начался буквально на днях, а сообщения о неудачных попытках войти, на почту приходили ещё за месяц до шумихи. Возможно тогда они только тестировали по тихому?

    • Первые сообщения об этой атаке появились еще в апреле.
      Не хватило у них возможностей быстро сбрутить много админок, вернулись более подкованные :(

  14. Я просто сменил само имя файла wp-login.php на случайныесимволы.php

    • Нагрузку это не снимает

      • Вот это снимет:

        #Защищаем файл wp-login.php

        Order Deny,Allow
        Deny from all
        Allow from 255.255.255.255 # тут разрешенный IP
        Allow from 255.255.255.255 # тут разрешенный IP

        # Отсылаем нафик при попытке захода в запрещенные места
        ErrorDocument 403 http://абракадабра.com/ #редирект на несуществующий адрес

        • Вот это снимет:

          #Защищаем файл wp-login.php
          <files wp-login.php>
          Order Deny,Allow
          Deny from all
          Allow from 255.255.255.255 # тут разрешенный IP
          Allow from 255.255.255.255 # тут разрешенный IP
          </files>
          # Отсылаем нафик при попытке захода в запрещенные места
          ErrorDocument 403 http://абракадабра.com/ #редирект на несуществующий адрес

          Сорри за дабл, автор, удалите предыдущий, там код не отобразился – ВП съел.

  15. Хе-хе, ровно 1:1 сделал (закрыл по IP админку) и написал статью в блоге 6 августа. :)

    Кстати, чтоб еще снизить шансы на нагрузку при подобной атаке, добавил в корневой ХТАКЦЕСС строку:
    ErrorDocument 403 http://абракадабра.com/ #редирект на несуществующий адрес

    Т.е. при попытки захода в админку с иного IP – сразу нафиг с сайта. *CRAZY*

  16. Даже если IP динамический – разве нельзя указать маску своей сети ?

    2 дня меня в админку тоже кто-то подалбывает.

    • Например у меня интернет от Utel , тут порядка 15 подсетей. IP отличается полностью.
      Сейчас захожу на свой сайт постоянно пробивая IP и переписывая .htaccess. :(

  17. Ребят а что мешает заменить путь для входа в админку ?! Мне кажется самый лучшый способ решения проблемы если втупую атакуют wp-login.php и питаются войти в админку по привычному урлу вордпреса http://www.вашсайт.ru/wp-login.php.

    Кстати я так и сделал с помощью плагина который дает возможность делать вход в админку, именно такой как вам нравится и тогда уж ети боты точно ничего не сделают ! 8)

  18. Так можно же просто скрыть ажминку и все. Плагины для безопасности в помощь, там же лимит на количество неудачных попыток и 404. Better WP Security мощная вещь.

  19. А как же зайти в админку, если она заблокирована? С осени не входил, а сейчас потребовалось. Ввожу пароль а в ответ требуют Subdomain Authorization.

    • По всей видимости хостинг установил пароль на доступ. Обратитесь к суппорту хостинга с подобным вопросом.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *