Сейчас в интернете бушует одна из сильнейших атак на wp-login.php, а также в том числе атакуют админки Джумлы и ДЛЕ.
По данным некоторых хостингов атака идет в 14-17 тысяч IP. Многие хостинги не выдержали нагрузки и упали. Многие еще держатся, но часто отдают 502 и 503 ошибку.
Как вы понимаете — беда не обошла в том числе и меня.
Данная Ddos атака началась приблизительно с апреля, но количество IP было не большим поэтому никакой угрозы атака не представляла.

Сейчас же атака идет в 14-17К уникальных IP, с которых идет попытка подобрать ваш пароль к админке.

В случае подбора пароля к вам заливается шелл, далее  и ваш сайт начинает участвовать в взломе других сайтов. Такой себе не большой ботнет.
Так как многие пользователи используют виртуальные хостинги — нагрузка сильно увеличилась, с проблемой уже пытаются справиться сами хостеры. Что же можно сделать самому для защиты?
Первое — это закрыть доступ для всех IP, кроме вашего. Для этого делаем так:
Создаем в папке site.com/wp-admin/ файл .htaccess с таким содержимым.

order deny,allow
deny from all
allow from 12.34.36.11

Где 12.34.36.11 — ваш IP. Узнать ваш IP можно например
таким запросом в Яндекс .

Данный метод очень хорош тем, что запрос обрабатывается на уровне хостинга и не создает нагрузку на сайт.

Далее рекомендую установить в wordpress посложнее пароль с использованием цифр, букв , не менее 8 символов. Не создавайте простые пароли , чтобы вас не взломали.
Хорошим способом также является смена логина администратора с стандартного admin на уникальный.
Не ждите пока ваш сайт взломают, защитите админку.

П.С. — в посте о Скрытом Яке обещал отдать домен в скрытом Яке. Frei, отпишись с своего мыла, отдам заслуженный подарок.

П.С. на блоге отвалились больше чем 500 человек, подписанных через умерший Google Reader. Прикольно наблюдать, как на многих топовых блогах значения счетчиков нисколько не упало. Теперь видно конкретно, что народ банально накручивал себе показатели.

Автор

С 2007 года занимаюсь созданием контент проектов и их монетизацией. Seo специалист, блоггер.

35 комментариев

  1. jkeks Ответить

    для пробы ставил плагины для WP оганичивающие количество попыток входа, но кажется что блокировка по IP — самая универсальная, без дополнительной нагрузки на хостинг и все такое.

    Сношу плагины.

  2. jkeks Ответить

    Столкнулся с WordPress редиректом, если сделать так как у тебя написано. Порыл — ответа не нашел, остался на плагине пока. Ты сам-то пробовал в админку с другого IP заходить ? Или это у меня хостер такой ?

    «Эта веб-страница содержит бесконечное перенаправление»

    • jkeks Ответить

      У тебя то же самое: На странице обнаружена циклическая переадресация

      Пороверять же надо =)

    • Тимофей! Ответить

      Мне сам хостер внёс изменения в .htaccess и прислал инструкцию с дальнейшими действиями.

      Собственно вот они:

      CMS Joomla

      order deny,allow
      deny from all
      #allow from My_IP

      CMS WordPress

      order deny,allow
      deny from all
      #allow from My_IP

      Для получения доступа необходимо в секции «» в строке «#allow from My_IP» убрать знак «#» и вместо «My_IP» прописать внешний IP-адрес компьютера, с которого производится работа с административной панелью сайта.

      Мож кому пригодится!

      • Тимофей!

        Самое нужное не прошло в 1м комментарии, сделал скрин _https://s020.radikal.ru/i714/1308/69/14e3a1feb0d5.png

    • Devvver Ответить

      Это работающая защита у хостера, так что скажи спасибо им =)
      Я им писал по поводу переадресации, они сказали, что это их работа =)

  3. Александр Ответить

    Lockdown WP — переименовать админку + еще Wordfence — блокировка на 2 часа после двух неудачных попыток ввода пароля. а ip у меня динамический, так что не вариант

  4. Андрей Ответить

    Слышал еще о взломе Joomla, вроде тоже идет волна…

  5. Alice Ответить

    Ставьте плагин Better wp security https://wordpress.org/plugins/better-wp-security/
    и настраивайте ограничения доступа к wp-login.php по ip из админки.
    Также умеет блокировать ip после неудачных попыток входа.
    Очень удобно.
    Всем добра!

  6. Derodroll Ответить

    У меня хостеры сами у всех закрыли доступ в админки, просят переименовывать файлы.

    • Devvver Ответить

      У меня сейчас тоже была под блоком. Далее попросил на время разблочить для установки самой защиты. До этого мой блог лежал вообще под 403 ошибкой :(

  7. Вячеслав Ответить

    Так вот оно что.. У меня на хостинге те сайты, которые на вордпрессе боты «атакуют» уже 5-день.
    Я делал немного по другому т.к. мой постоянный ip имеет свойство время от времени меняется. В .htaccess закрыл паролем wp-login.php. Сайт атакуют но нагрузки нет.

    • Devvver Ответить

      Я тоже имею динамический IP и пробовал реализовать защиту через
      1)плагин для WordPress
      2) установка пароля на wp-admin/
      3) вариант с установкой куков.

      К сожалению все эти методы конфликтуют с защитой от хостинга. В данный момент никакие действия с файлом wp-login.php мне не доступны.

      • Вячеслав

        У меня в URL (предыдущий пост) ссылка на статью где довольно подробно описал. Попробуй. С хостингом не должно быть конфликтов. И никаких действий с wp-login.php делать не нужно.
        В корневом разделе сайта создается файл .htpasswd (в нем храниться шифрованный пароль и логин). В папке с сайтом, в файл .htaccess добавляется примерно вот такой код:

        AuthName “Private”
        AuthType Basic
        AuthUserFile /hsphere/local/home/ваш_username/.htpasswd
        Require valid-user

        Что это дает? Хостингом блокируется попытка бота войти в админку. То есть, бот не может подбирать пароль к админке (и создать тем самым нагрузку на сайт) пока не введет правильный логин и пароль доступа к wp-login.php
        На двух разных хостингах работает отлично. Проблема полностью решилась. Буду рад если и другим пригодится.

      • Devvver

        Я его пробовал, у меня от номером 2) помечен.
        он конфликтует с защитой самого хостинга.
        У меня конкретно отдается 403 ошибка, а иногда просто белый экран без ошибок.
        Нужно понимать, что сам хостинг заботится о защите ваших сайтов(я надеюсь вам такой попался).
        И у них свой метод фильтрации трафа, который льется на файл wp-login.php
        Метод в Статье самый простой и удобный на тот случай, если хостинг не предпринимает никаких действий по защите.
        Кстати сейчас проверил свой сайт — у меня при непрямом обращении к wp-admin/произвольный файл.php отдается 404 ошибка, что самое обидное — обрабатывается самим сайтом.
        Но так как лог файл не растет — мысль говорит о том, что основной трафик фильтруется раньше, боты не пробивают защиту хостинга.
        Кстати, как я заметил саму атаку — в ее момент у меня резко начали расти логи(log файлы с ошибками), иногда за сутки до 60мб.

      • На мой взгляд, если на хостинге нельзя задать серверную авторизацию через .htaccess, то такой хостинг — г.

  8. Олег Ответить

    Мои сайты защитил сам хостер (СпейсВеб). Самостоятельно прописал код упомянутый выше. Мне только осталось поставить свой IP. 8)

  9. Олег Ответить

    На счет Google Reader, то это то же самое, что и FeedBurner?
    Потому что у меня FeedBurner уже давненько не работает, полгода наверное, и не знаю, в чем проблема. Но в других людей вроде работает… Настройки пересмотрел — не помогло

    • Devvver Ответить

      Не совсем то же самое. GR — это читалка, как Яндекс подписки.
      FB — такой себе агрегатор- счетчик. у меня кстати вроде все работает, пару месяцев назад заходил туда.

  10. NMitra Ответить

    У меня ни одного накрученного подписчика, но данные в Feedburner тоже не упали

    • Devvver Ответить

      Такое возможно в некоторых случаях, например если люди набирались только через email подписку или Яподписки.
      В таком случае падению будет, но небольшое.
      Я перед падением зашел в Feedburner и посмотрел долю подписанных через GR.
      Их было порядка 30%
      ровно на столько у меня и отвалился ридер, все правильно.
      Еще пример — 9seo.ru было 1300 подписчиков стало 500 человек.
      Devaka — минус 2694
      Terehoff — минус 2169

  11. jkeks Ответить

    И все же, даже если защита сайта,- дело хостера, все равно не должно быть постоянного редиректа. Ты посмотри у тебя если зайти на Админку , то твой браузер будет 302 редиректиться все время. Если Боты — это настроенные браузер, то попытка обратиться к твоей Админке обернется другой но затянутой нагркой, потому что браузеры долбят 2-5 раз в секунду в течении 30 секунд.

    Надо твой вариант поправить как-то, но как незнаю.

  12. F5 Ответить

    Была попытка взлома и на моем блоге. Получил предупреждение от хостера, что следует защищаться. Защитился.
    Но вот, что интересно, массовый перебор паролей начался буквально на днях, а сообщения о неудачных попытках войти, на почту приходили ещё за месяц до шумихи. Возможно тогда они только тестировали по тихому?

    • Devvver Ответить

      Первые сообщения об этой атаке появились еще в апреле.
      Не хватило у них возможностей быстро сбрутить много админок, вернулись более подкованные :(

  13. Sergius Ответить

    Я просто сменил само имя файла wp-login.php на случайныесимволы.php

      • Блоговод

        Вот это снимет:

        #Защищаем файл wp-login.php

        Order Deny,Allow
        Deny from all
        Allow from 255.255.255.255 # тут разрешенный IP
        Allow from 255.255.255.255 # тут разрешенный IP

        # Отсылаем нафик при попытке захода в запрещенные места
        ErrorDocument 403 #редирект на несуществующий адрес

      • Блоговод

        Вот это снимет:

        #Защищаем файл wp-login.php
        <files wp-login.php>
        Order Deny,Allow
        Deny from all
        Allow from 255.255.255.255 # тут разрешенный IP
        Allow from 255.255.255.255 # тут разрешенный IP
        </files>
        # Отсылаем нафик при попытке захода в запрещенные места
        ErrorDocument 403 #редирект на несуществующий адрес

        Сорри за дабл, автор, удалите предыдущий, там код не отобразился — ВП съел.

  14. Блоговод Ответить

    Хе-хе, ровно 1:1 сделал (закрыл по IP админку) и написал статью в блоге 6 августа. :)

    Кстати, чтоб еще снизить шансы на нагрузку при подобной атаке, добавил в корневой ХТАКЦЕСС строку:
    ErrorDocument 403 #редирект на несуществующий адрес

    Т.е. при попытки захода в админку с иного IP — сразу нафиг с сайта. *CRAZY*

  15. jkeks Ответить

    Даже если IP динамический — разве нельзя указать маску своей сети ?

    2 дня меня в админку тоже кто-то подалбывает.

    • Devvver Ответить

      Например у меня интернет от Utel , тут порядка 15 подсетей. IP отличается полностью.
      Сейчас захожу на свой сайт постоянно пробивая IP и переписывая .htaccess. :(

  16. Андрей Ответить

    Ребят а что мешает заменить путь для входа в админку ?! Мне кажется самый лучшый способ решения проблемы если втупую атакуют wp-login.php и питаются войти в админку по привычному урлу вордпреса вашсайт.ru/wp-login.php.

    Кстати я так и сделал с помощью плагина который дает возможность делать вход в админку, именно такой как вам нравится и тогда уж ети боты точно ничего не сделают ! 8)

  17. Агент 00x Ответить

    Так можно же просто скрыть ажминку и все. Плагины для безопасности в помощь, там же лимит на количество неудачных попыток и 404. Better WP Security мощная вещь.

  18. Аркадий Ответить

    А как же зайти в админку, если она заблокирована? С осени не входил, а сейчас потребовалось. Ввожу пароль а в ответ требуют Subdomain Authorization.

    • Devvver Ответить

      По всей видимости хостинг установил пароль на доступ. Обратитесь к суппорту хостинга с подобным вопросом.

Написать комментарий