Защита от брута WP.

[John]

Посоветуйте простой плагин для защиты от брута блогов на вордпрессе. Желательно без лишних свистоперделок.

Около 15 блогов стоит - постоянно брутят. Запарили.

Поставил jetpack - но чота хз, повбивал неверные данные в админку - ничего не происходит. Настроек этой функции никаких нет. Хз как он работает вообще.

[suzan]

Цитата:

Сообщение от Skyworker

Разреши при помощи .htaccess доступ к админке только со своего единственного IP и пускай они все отсасывают.

Нах что-то советовать если не понимаешь, что ip адресс бывает динамический.

Плагинов куча на wp с подобным функционалом, пробовал all in one wp security - норм.
Самый простой и действенный вариант через htpasswd поставить пароль на доступ к админке.

[Hector]

suzan, вообще-то лучше еще до апача забанить, не всегда конечно установлен nginx на фронте. Масштабы брута бывают такие что ложат легко сервер.

[NaughtySpider]

Можно сайт спрятать за какой-нибуть CDN (например Cloudflare).
В правилах узаказать путь к админке как сильно защищённый.
Он будет капчи выдавать, банить брут и т.д.

Прикольно что всё это бесплатно и запрос до вашего сервера даже не доходит, пока человек мучается

[Matt Cutts]

Да, человек прям сидит на другом конце провода и мучается, бедняга.

[blackgoo]

хтаксес авторизацию уже советоали?

Вот такой плагин еще есть https://wordpress.org/plugins/bulletproof-security/

[samcram]

Если нужно защитить сайт на WP, на в первую очередь стараюсь убить все футпринты о том, что этот сайт на WP.

Так сайт вообще не попадает в базы WP сайтов ==> Никто не будет пробовать брутить, или проверять на стойкость вашего сайта к последним уязвимостям.

По каким футпринтам определяют
1. Заголовок ответа сервера
2. Код главной страницы
3. Админка, пути к дирикториям стилей/js и др.

[NaughtySpider]

Цитата:

Сообщение от samcram

Если нужно защитить сайт на WP, на в первую очередь стараюсь убить все футпринты о том, что этот сайт на WP.

Так сайт вообще не попадает в базы WP сайтов ==> Никто не будет пробовать брутить, или проверять на стойкость вашего сайта к последним уязвимостям.

По каким футпринтам определяют
1. Заголовок ответа сервера
2. Код главной страницы
3. Админка, пути к дирикториям стилей/js и др.

Ещё забыл забавный readme файл в корне.

[kitvit]

Если парит, советую поставить fail2ban.
Но подойдёт только для случая если сервер свой.
Потому что блокируются все сайты сервера для данного IP на уровне файрвола.
При желании можно написать свой, чтобы дописывал обидчика в .htaccess.
Можно использовать код плагина fail2ban.

[happend]

2FA советовали?

[kanzas]

плагин iThemes Security даже в бесплатном варианте хорош, можно сменить адрес админки, банить всех кто ломится под ником админ, ограничить количество попыток входа с одного айпи и много еще чего. пользую года три уже, обновляется постоянно