Защита от брута WP. - Форум успешных вебмастеров

John · 09.09.2016, 15:55

Посоветуйте простой плагин для защиты от брута блогов на вордпрессе. Желательно без лишних свистоперделок.

Около 15 блогов стоит - постоянно брутят. Запарили.

Поставил jetpack - но чота хз, повбивал неверные данные в админку - ничего не происходит. Настроек этой функции никаких нет. Хз как он работает вообще.

Hector · 09.09.2016, 15:59

Лучше забанить на уровне nginx

Grenaro · 09.09.2016, 16:17

Измени путь к админке, удали xmlrpc.php, можно поставить Fail2ban. Плагины можно юзать только те, которые меняют путь. А если добавляют токен или каптчу, то брутерам это не важно, потому как скрипты простоваты и лупят все равно. Видел один плагин, он просто добавлял одну и ту же строку в куки после ввода каптчи. Но можно было просто добавить эту же строку самому и каптча обходилась. Все эти плагины только дыр добавляют.

John · 09.09.2016, 17:39

Цитата:

Сообщение от Hector

Лучше забанить на уровне nginx

Каким образом?

Цитата:

Сообщение от Grenaro

Измени путь к админке, удали xmlrpc.php

Нормальной работе блога это никак не помешает?

Hector · 09.09.2016, 17:47

Можно например так
https://easyengine.io/tutorials/ngin...eforce-attack/

или так
https://www.digitalocean.com/communi...n-ubuntu-14-04

дохрена вариантов
гугли

Можно запретить доступ к админке только с твоего айпи, или ставить куки с которыми разрешен доступ и тд.
Nginx же может многое..

Grenaro · 09.09.2016, 17:56

Цитата:

Сообщение от John

Нормальной работе блога это никак не помешает?

Там еще wp-login.php переименовывать надо. Так что лучше .htaccess настрой.

Код:

# BEGIN Hide console URL
<IfModule mod_rewrite.c>
RewriteEngine On
 
RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key [R,L]
 
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key&redirect_to=/wp-admin/ [R,L]
 
RewriteRule ^custom_admin_url/?$ /wp-admin/?your_secret_key [R,L]
 
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/custom_admin_url
RewriteCond %{QUERY_STRING} !^your_secret_key
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
 
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?your_secret_key [R,L]
</IfModule>
# END Hide console URL

Сам не тестил, здесь нашел: http://www.websphererus.com/others/h...dpress-console
p.s. но xmlrpc.php все равно удали, там есть критическая уязвимость при использовании с одним распространенным софтом

majordon · 09.09.2016, 17:57

Цитата:

Сообщение от John

Нормальной работе блога это никак не помешает?

если просто путь к админке сменить, то точно никак не помешает

веломан · 09.09.2016, 19:12

Цитата:

Сообщение от majordon

если просто путь к админке сменить, то точно никак не помешает

самый идеальный вариант ))

fireXXX · 09.09.2016, 21:29

У меня взламывали сайты с админкой на левом урле

Ищешь пост, где есть форма комментов, там жмешь, просит регнуться и попадаешь на этот урл "секретный"

Skyworker · 10.09.2016, 04:12

Разреши при помощи .htaccess доступ к админке только со своего единственного IP и пускай они все отсасывают.