Пытаются подобрать пароль в админку вордпресс. Нужны пояснения.

Question

Пытаются подобрать пароль в админку вордпресс. Нужны пояснения.

Доброго всем!
Я только учусь, так сказать перехожу от теории к практике.
Сделал новый сайт на вордпресс, домену около 2 недель.
Уже больше суток плагин All In One WP Security фиксирует брутфорс атаку с логином админа.
Сменил логин админа и страницу авторизации, пароль достаточно сложный. То что взломают таким методом и в ближайшее время - не переживаю.
Но, как долго это может продолжаться и как узнать, что взломали - если такое случится?

З.Ы. Нагрузка на сервер тоже ведь идет?

0

Ответы на пост (9) Написать ответ

Быстрая регистрация для ответа Войти

vituson

2363

04.04.2018 20:21

Спасибо за информацию.
И вам не хворать.

3

zumbob

0

04.04.2018 20:29

с нетбука сижу в машине, мышки нет - тачпад глючит

0

wils

101

04.04.2018 20:24

Самый бомбичный вопрос! и ядерный ответ когда либо белый свет видывал

1

abzaloff

1

04.04.2018 21:09

Запрети открытие wp-login.php вообще и измени страницу входа на другой адрес. В сети много инфы, как это сделать

1

Богдан Черный

20

04.04.2018 23:31

Я делал логи авторизации на сайте и все)

0

Богдан Черный

20

04.04.2018 23:32

а лучше сделать страницу фейковую админки и пусть бомбят ее , а админка уже в другом поле лежит и хер кто найдет

0

snwebdev

139

04.04.2018 23:38

Можно поставить Гугл капчу на форму авторизации с помощью плагина.

0

roger3

30

05.04.2018 03:05

Пропиши в .htaccess вот это ниже. Мне советовали здесь же. WP часто взламывают и мне это пока что помогает. Иногда слетает авторизация и чтобы зайти в админку приходится вырезать это, а потом вставлять обратно. Там где "домен твоего сайта", пиши твой сайт типа site.ry и там где уникальный пароль придумай свой. Не помню кто мне писал, но советовали тут. В итоге пока что не взламывают.

AuthUserFile .htpasswd
AuthName "Private access"
AuthType Basic
<FilesMatch "wp-login.php">
Require valid-user
</FilesMatch>

AuthUserFile .htpasswd
AuthName "Private access"
AuthType Basic
<FilesMatch "wp-admin.php">
Require valid-user
</FilesMatch>

AuthUserFile .htpasswd
AuthName "Private access"
AuthType Basic
<FilesMatch "wp-config.php">
Require valid-user
</FilesMatch>

AuthUserFile .htpasswd
AuthName "Private access"
AuthType Basic
<FilesMatch "wp-load.php">
Require valid-user
</FilesMatch>

# BEGIN Hide console URL
<IfModule mod_rewrite.c>
RewriteEngine On

RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key [R,L]

RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key&redirect_to=/wp-admin/ [R,L]

RewriteRule ^custom_admin_url/?$ /wp-admin/?your_secret_key [R,L]

RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)домен твоего сайта/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)домен твоего сайта/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)домен твоего сайта/custom_admin_url
RewriteCond %{QUERY_STRING} !^Уникальный пароль
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]

RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?your_secret_key [R,L]
</IfModule>
# END Hide console URL

0

Быстрая регистрация для ответа Войти

Accepted Answer

Подбор идет автоматом, так что насчет времени неизвестно, может, через неделю "само пройдет", может, полгода будет. Будет меньше грузить сервер, если ответ сервера будет 403 для взломщиков админки. Вы можете в файле Htaccess прописать запрет на открытие wp-login.php для всех адресов и разрешить только для себя, если IP статический.

Пытаются подобрать пароль в админку вордпресс. Нужны пояснения.

Похожие посты

Анализ сайта