SEO Сообщество: Спрашивайте и помогайте

Присоединяйтесь к сообществу профессиональных веб-мастеров PR-CY, отвечайте на вопросы коллег и задавайте свои.

Q&A SEO

Пытаются подобрать пароль в админку вордпресс. Нужны пояснения.

zumbob zumbob  
0
  04.04.2018 20:15       2 501    
Доброго всем!
Я только учусь, так сказать перехожу от теории к практике.
Сделал новый сайт на вордпресс, домену около 2 недель. 
Уже больше суток плагин All In One WP Security фиксирует брутфорс атаку с логином админа.
Сменил логин админа и страницу авторизации, пароль достаточно сложный. То что взломают таким методом и в ближайшее время - не переживаю.
Но, как долго это может продолжаться и как узнать, что взломали - если такое случится?

З.Ы. Нагрузка на сервер тоже ведь идет?

Ответы на пост (9) Написать ответ
vituson vituson
2363
04.04.2018 20:38
Подбор идет автоматом, так что насчет времени неизвестно, может, через неделю "само пройдет", может, полгода будет. Будет меньше грузить сервер, если ответ сервера будет 403 для взломщиков админки. Вы можете в файле Htaccess прописать запрет на открытие wp-login.php для всех адресов и разрешить только для себя, если IP статический.
0
Решение
vituson vituson
2363
04.04.2018 20:21
Спасибо за информацию.
И вам не хворать.
3
zumbob zumbob
0
04.04.2018 20:29
с нетбука сижу в машине, мышки нет - тачпад глючит
0
wils wils
101
04.04.2018 20:24
Самый бомбичный вопрос! и ядерный ответ когда либо белый свет видывал
1
abzaloff abzaloff
1
04.04.2018 21:09
Запрети открытие wp-login.php вообще и измени страницу входа на другой адрес. В сети много инфы, как это сделать
1
Богдан Черный Богдан Черный
20
04.04.2018 23:31
Я делал логи авторизации на сайте и все)
0
Богдан Черный Богдан Черный
20
04.04.2018 23:32
а лучше сделать страницу фейковую админки и пусть бомбят ее , а админка уже в другом поле лежит и хер кто найдет
0
snwebdev snwebdev
139
04.04.2018 23:38
Можно поставить Гугл капчу на форму авторизации с помощью плагина.
0
roger3 roger3
30
05.04.2018 03:05
Пропиши в .htaccess вот это ниже. Мне советовали здесь же. WP часто взламывают и мне это пока что помогает. Иногда слетает авторизация и чтобы зайти в админку приходится вырезать это, а потом вставлять обратно. Там где "домен твоего сайта", пиши твой сайт типа site.ry и там где уникальный пароль придумай свой. Не помню кто мне писал, но советовали тут. В итоге пока что не взламывают.

AuthUserFile .htpasswd
AuthName "Private access"
AuthType Basic
<FilesMatch "wp-login.php">
Require valid-user
</FilesMatch>

AuthUserFile .htpasswd
AuthName "Private access"
AuthType Basic
<FilesMatch "wp-admin.php">
Require valid-user
</FilesMatch>

AuthUserFile .htpasswd
AuthName "Private access"
AuthType Basic
<FilesMatch "wp-config.php">
Require valid-user
</FilesMatch>

AuthUserFile .htpasswd
AuthName "Private access"
AuthType Basic
<FilesMatch "wp-load.php">
Require valid-user
</FilesMatch>

# BEGIN Hide console URL
<IfModule mod_rewrite.c>
RewriteEngine On

RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key [R,L]

RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key&redirect_to=/wp-admin/ [R,L]

RewriteRule ^custom_admin_url/?$ /wp-admin/?your_secret_key [R,L]

RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)домен твоего сайта/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)домен твоего сайта/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)домен твоего сайта/custom_admin_url
RewriteCond %{QUERY_STRING} !^Уникальный пароль
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]

RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?your_secret_key [R,L]
</IfModule>
# END Hide console URL
0