IP-uri de pe care se incearca sa se sparga site-uri.

[AntonioTony]

Am avut un site spart in mai multe randuri, iar acum m-am apucat sa-l refac de la 0 si mi-am instalat wordfence.

In ultima luna am primit email-uri de la wordfence ca anumite IP-uri au fost blocate deoarece incercau sa se conecteze la site cu username "admin".

Am facut o lista cu aceste IP-uri, lista ce o voi completa pe masura ce incercarile continua.

94.250.254.76
46.105.28.232
84.240.9.6
69.63.132.5
95.163.121.119
64.34.170.31

Daca aveti si voi o astfel de lista sau primiti email-uri de la wordfence, treceti si pe aici si postati-le, sa le blocam in masura in care putem si sa reducem riscul de a ne fi site-urile sparte. Stiu ca numarul celor care folosesc "admin" sunt putini sau poate chiar inexistenti, dar poate va ajuta pe cineva la un moment dat.

Eu unul recomand tuturor sa-si instaleze wordfence si sa blocheze din start aceste IP-uri precum si cele care vor mai fi postate aici.

Cei care vor sa se protejeze si mai mult pot citi articolul urmator: How To Block Hacking Attempts On Your Website by Menkom

[Mihai_Is]

Mi se pare complicat sa te apuci sa updatezi liste de ip-uri, mai ales daca ai mai multe bloguri.
Pentru wordpress, pui in wp-admin un .htaccess de forma

Order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

<Files admin-ajax.css>
Order allow,deny
Allow from all
Satisfy any
</Files>

si gata.
Daca ai ip dinamic, de obicei acestea se schimba clasa B sau C, si pui de ex allow from xxx.xxx.xxx

[Sorin Frumuseanu]

Da. Deci nu are sens sa le numeri, sunt prea multe.
Uite bucurii (o parte) de azi, dupa ce am facut curat vineri (si mai am), via plugin urban girafe redirection:
aaddmm.jpg
Le ignori, te minunezi si asta e

[RedHat]

Nu reduci riscul ca siteul sa iti fie spart blocand niste ip-uri.
Foloseste o parola complicata de genul celei care ti-o genereaza automat. Alea sigur nu se gasesc in listele de parole si sa fie generate ar dura probabil luni intregi sau ani.
Iar faptul ca sunt sau nu utiliatori care folosesc "admin" nu este relevant deoarece se pot afla foarte usor userii existenti intr-un site ce ruleaza pe wordpress. Adica fie ca folosesti admin sau freegigi e aceeasi chestie.

Chiar daca folosind o parola buna riscul sa treaca de ea cu brute force sunt foarte mici, se poate folosi si un plugin care blocheaza automat dupa ip-ul pentru o anumita perioada de timp dupa x tentative de logare esuate. Doar asa for fun sa nu mai vezi milioane de incercari de autentificare prin loguri.

[puthre]

https://wordpress.org/plugins/duo-wordpress/

[gupi]

Sunt două probleme aici, fiecare cu specificul ei.

Prima e legata de tentativa de acces neautorizat, pentru care exista suficiente măsuri (plugin-ul de autentificare dual-factor de mai sus e doar unul din exemplele foarte bune)

A doua problemă e că la tentative serioase (de genul 20-30 de accesări neautorizate pe secundă), site-ul consumă nejustificat resurse: chiar dacă tentativa eșuează, e necesar un set de query-uri în baza de date, sunt niște pași logici de verificat în secțiunea de acces, etc. Una peste alta, am avut bloguri cu astfel de tentative de atac, la care blocarea reactivă (după câteva încercări nereușite sau accesul dual-factor) nu aveau efect, deoarece adresele IP sursă erau extrem de multe.
Singura soluție cu adevarat eficace a fost "tăierea crăcii de sub picioare" (înlocuirea fișierului wp-login.php cu unul blanc pe durata atacului), în felul acesta eliberând resursele blogului.
Înlocuirea fișierului wp-login.php am făcut-o după autentificarea validă a administratorului de blog, el rămânând autentificat în continuare; la final, puneam înapoi fișierul original.

Observație: soluția cu .htaccess este mai elegantă, însă mai greu de implementat și urmărit de către useri cu cunoștințe limitate.
Manevra de ștergere/copiere a fișierelor wp-login.php a fost mult mai ușor de explicat și aplicat.

[haos]

Am incercat sa tin si eu o astfel de lista acum cativa ani dar dupa o perioada devenise atat de lunga incat era total inutila. Mai ales ca majoritatea sunt ale unor hosturi infectate si odata ce acele hosturi sunt curatate, atacatorul se muta pe altul si pe altul, si tot asa incat aceasta lista creste exponential si inutil.

Tot ce conteaza este cum a zis si gupi, cei care consuma excesiv cu astfel de atacuri. Pe aia nu-i iert, ii bag direct in firewall-ul serverului sau deny din htaccess.

[Sorin Frumuseanu]

La 20-30 accesari/secunda deja intra in lucru protectiile hostingului.
Multe rau nu sunt, chit ca deranjeaza atunci cand se face curatenie (via plugin urban girafe - minunea de redirecturi) pt ca ia ceva timp. Sortare dupa ip, dupa link negasit, mai o cautare dupa "adm" "admin" "setup" + delete all si gata cu ele.
Din cate vad, multi sunt efectiv idioti si cauta buguri specifice (cunoscute) pt platforme gratuite de magazine online sau alte cms gratuite.
Concluzie: nu e motiv de ingrijorare cat timp ai platforma la zi si nu folosesti pluginuri (de e wp) exotice.