Комментарии 7
Через REST API WordPress можно легко получить список зарегистрированных пользователей и их логины. Добавляем к URL /wp-json/wp/v2/users и видим всех пользоватлелей. И не придется брутить. Фиксится легко, можно ограничить достут, но мало, кто это делает.
Ну да:
— крайне желательно, что бы логин не совпадал с юзером
— надо закрывать вызов через json списка юзеров и перебор ID юзеров через url
— и slug юзера поменять (плагин), что в url юзер не показывался в адресе архива статей автора
— и прятать админку WP (на другой адрес url) — полно таких плагинов
— а после спрятанной админки (те доступ только из WP) повесить запрет 401 на wp-login.php и xmlprc.php (хотя бы через Apache), что бы запросы дураков из интернета до WP не доходили
Иначе сайт средней посещаемости (типа 500 в день) просто не будет работать — таких умных много с брутфорсом (типа 10 попыток в секунду) и это уже получается DDos — одно ядро процессора на VPS занято на 99% этой чепухой.
И wp-config.php перетащить на уровень вверх.
И fail2ban настроить.
И можно выдохнуть…
— крайне желательно, что бы логин не совпадал с юзером
— надо закрывать вызов через json списка юзеров и перебор ID юзеров через url
— и slug юзера поменять (плагин), что в url юзер не показывался в адресе архива статей автора
— и прятать админку WP (на другой адрес url) — полно таких плагинов
— а после спрятанной админки (те доступ только из WP) повесить запрет 401 на wp-login.php и xmlprc.php (хотя бы через Apache), что бы запросы дураков из интернета до WP не доходили
Иначе сайт средней посещаемости (типа 500 в день) просто не будет работать — таких умных много с брутфорсом (типа 10 попыток в секунду) и это уже получается DDos — одно ядро процессора на VPS занято на 99% этой чепухой.
И wp-config.php перетащить на уровень вверх.
И fail2ban настроить.
И можно выдохнуть…
остается только удивляться почему WP не делает все это из коробки
Забыл.
Да — и еще плагин WP, который пишет 404 ошибки в лог на сервере (а не в базу), далее отдаем этот лог fail2ban (фильтр+джайл) и «умники» с подбором 10 раз сек через URL -> улетают в бан.
И тогда более-менее реальные живые посетители могут на сайт попасть :)
Да — и еще плагин WP, который пишет 404 ошибки в лог на сервере (а не в базу), далее отдаем этот лог fail2ban (фильтр+джайл) и «умники» с подбором 10 раз сек через URL -> улетают в бан.
И тогда более-менее реальные живые посетители могут на сайт попасть :)
Может кто знает, а как узнать доступ к админке, если он был сменен с стандартного /wp-admin
Эммм так ведь эти штуки не работают если на сайте установлен https
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Различные методы брутфорс атак WordPress