رفتن به مطلب

مشکل با حمله brute force و تلاش برای دستیابی به wp-login.php


پست های پیشنهاد شده

سلام

من چند ساعت پیش متوجه شدم مصرف سی پی یو تا آخرین حد رفته و سایت از دسترس خارجه. دیدم ظاهرا یه حمله brute force بررروی فایل wp-login.php هست. فایل رو با کد زیر توی htaccess از دسترس خارج کردم:


<FilesMatch "wp-login.php">
Order Deny,Allow
Deny from all
</FilesMatch>

هنوز هم هکر داره تلاش می کنه برای ورود اما مصرف سی پی یو خوب شده.

مشکل من با کد زیر هست که توی سایت اصلی وردپرس در مورد این گونه حملات گذاشته:




# Stop Apache from serving .ht* files
<Files ~ "^\.ht"> Order allow,deny Deny from all </Files>

# Protect wp-login
<Files wp-login.php>
AuthUserFile ~/.htpasswd
AuthName “Private access”
AuthType Basic
require user myusername
</Files>

این کدها رو که اضافه می کنم به htaccess فروم من که توی ساب فولدر هست (example.com/forum) از دسترس خارج میشه و خطای 500 میده. خود فروم هم یه فایل htaccess توی فولدرش داره.

نمیدونم چه ربطی داره؟ کسی متوجه میشه wp-login.php چه ربطی به فروم داره؟

اون ^\ جلوی .ht رو هم برداشتم اما فرقی نکرد.

لینک به ارسال

روی پوشه wp-admin پسورد گذاشتی ؟

wp-login عوض کن و برای لاگین از 1 مسیر دیگه اضافه کن

آدرس سایتتو میتونی بگی ؟

لینک به ارسال

روی پوشه wp-admin پسورد گذاشتی ؟

wp-login عوض کن و برای لاگین از 1 مسیر دیگه اضافه کن

آدرس سایتتو میتونی بگی ؟

پسوردگذاشتن روی wp-admin رو چون ممکن بود برای بعضی پلاگین ها مشکل ساز بشه فعلا امتحان نکردم.

تغییر نام wp-login هم یه مسئله داره و اونم این که با فایل تغییرنام داده شده نمیشه وارد سایت شد. ظاهرا در یه مرحله ای از ورود از دوباره فایل wp-login فراخوانی میشه.

"برای لاگین از 1 مسیر دیگه اضافه کن" رو متوجه نشدم.

لینک به ارسال

میتونید از افزونه های کپچا استفاده کنید برای صفحه لاگین.

همچنین این روش رو هم میتونید تست کنید. اگه شما زود به زود از مدیریت خارج نمیشید و نیازی نیست که هر روز لاگین کنید اسم فایل لاگین رو عوض کنید و یه فایل هم با نام wp-login.php درست کنید یه صفحه با یه پیغام بزارید حالا با هر عنوانی، و فقط وقتی که میخوایید لاگین کنید موقتا اسم فایل رو به حالت اول برگردونید.

گرچه ظاهرا این کار سخت و غیر منطقی شاید به نظر برسه ولی برای وقتی که سایت تحت حمله هست مفیده.

لینک به ارسال

میتونید از افزونه های کپچا استفاده کنید برای صفحه لاگین.

همچنین این روش رو هم میتونید تست کنید. اگه شما زود به زود از مدیریت خارج نمیشید و نیازی نیست که هر روز لاگین کنید اسم فایل لاگین رو عوض کنید و یه فایل هم با نام wp-login.php درست کنید یه صفحه با یه پیغام بزارید حالا با هر عنوانی، و فقط وقتی که میخوایید لاگین کنید موقتا اسم فایل رو به حالت اول برگردونید.

گرچه ظاهرا این کار سخت و غیر منطقی شاید به نظر برسه ولی برای وقتی که سایت تحت حمله هست مفیده.

فعلا افزونه limit login attempts رو دارم که خودش به حد کافی جلوی هک رو میگیره. افزونه کپچا فکر کنم سطح امنیتی که ایجاد می کنه یه سطح بعد از htaccess باشه. مشکل بیشتر روی فشاری هست که این حملات به سرور میاره. افزونه کپچا فکر نکنم زیاد این فشار رو کاهش بده.

راه حل دومی که مطرح کردید راه حل خوبیه. من فعلا خودم در سایتم لاگین هستم و دسترسی wp-login رو هم از طریق htaccess بستم. دستور زیر رو هم اضافه کردم که باعث میشه پیغام "Denied" نشون داده بشه. یعنی تقریبا همون چیزی که شما گفتید

ErrorDocument 403 "Denied"

در حال حاضر بیشتر سعی می کنم روی Wp=login پسورد بذارم. ببینم نتیجه چیه. حمله هم ظاهرا متوقف شده.

بازم ممنون

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...