WordPress – pokusy o přihlášení do administrace

21. 9. 2015 11:15:20

Zdravíčko :)

Mám takový "problém", který ne, že by mě extra trápil, ale rád bych našel řešení.

Mám web, který jede na Wordpressu a pro zabezpečení jsem si stáhl plugin iThemes Security, ve kterém jsem si změnil přihlašovací stránku z WP-LOGIN na něco jiného (například QWE). Současně mám zapnutou ochranu, aby se mi při větším počtu přihlášení (samozřejmě nesprávném) zablokovala přihlašovací stránka na 15 minut.

Divné je, že i přesto, že přihlašovací stránka je na jiné adrese, než je běžné (wp-login), stále mi chodí (cca. 10x denně) e-mail, že je přihlašovací stránka zablokovaná, protože došlo k velkému počtu chybným přihlášení.

Tak se ptám, jak je to možné a jaké řešení doporučujete?

Předem děkuji :)

Pavel

21. 9. 2015 11:15:20

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141367

Pavel Horelica

(54 hodnocení)

21. 9. 2015 11:22:50

ahoj, řeším toto htaccessem a nastavením toho, že jsou všechny IP adresy zakázány a povolím jen tu svoji..

21. 9. 2015 11:22:50

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141366

Pavel Jílek

(81 hodnocení)

21. 9. 2015 11:40:11

Na webu děláme 2 a často i mimo domov/kancelář :| Je to zpravodaj...

21. 9. 2015 11:40:11

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141365

Pavel Horelica

(54 hodnocení)

21. 9. 2015 15:03:23

jn tak IP adresy obou.. já upravuji weby ze 3 míst a mám tam 3 IP adresy a zbytek zakázaný.. a funguje to suprově..

21. 9. 2015 15:03:23

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141364

Luděk Kvapil

21. 9. 2015 16:00:20

A co HTTP autorizace pro /wp-admin?

21. 9. 2015 16:00:20

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141363

Pavel Jílek

(81 hodnocení)

21. 9. 2015 17:27:54

Napsal Pavel Horelica;1227046
jn tak IP adresy obou.. já upravuji weby ze 3 míst a mám tam 3 IP adresy a zbytek zakázaný.. a funguje to suprově..

Asi to bude opravdu nejlepší řešení, kdyžtak se připojím na FTP a doplním :) díky

21. 9. 2015 17:27:54

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141362

Vladimír Smitka

(4 hodnocení)

29. 9. 2015 19:51:24

Přidám pár tipů:

1) pokus o přihlášení nemusí být jen ze stránky s administrací - pokud se v ithemes security zapne skrytí backendu, tak lze stále provést pokus o přihlášení přes XML-RPC (který lze také v ithemes security vypnout)

2) při zakazování wp-admin přístupu pomocí HTTPauth je potřeba udělat výjimky pro soubory admin-ajax.php a admin-post.php, jinak mohou přestat fungovat některé pluginy (a když sám sebe povolím, tak si problému nemusím ani všimnout) - často je lepší blokovat pouze wp-login.php

3) řešením může být také povolení administrace pouze z IP adres v České Republice (většina útoků jde ze zahraničí). Lze to udělat ve firewallu, pomocí mod_geoip nebo třeba pomocí placeného pluginu WordFence - http://www.slideshare.net/vsmitka/bezpenost-wp-tipy-pro-kadho-wordcamp-praha-2015#11

4) pokud web běží na VPS, tak může být skvělé řešení připojovat se do administrace přes VPN.

5) jen tak se někde připojit přes FTP a doplnit adresu není nejlepší řešení, heslo může někdo odposlechnout (stejně tak jako při přihlášení přes protokol HTTP)

6) fajn trik je přímá blokace pokusů o přihlášení se s uživatelským jménem admin

29. 9. 2015 19:51:24

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141361

Vladimír Smitka

(4 hodnocení)

9. 10. 2015 09:43:55

Pokusy o přihlašování přes XML RPC jsou nyní mnohem častější, protože: https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html

9. 10. 2015 09:43:55

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141360

hacktrack

(5 hodnocení)

9. 10. 2015 15:29:40

Napsal smitka;1231875
Pokusy o přihlašování přes XML RPC jsou nyní mnohem častější, protože: https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html

joo tuhle chybu mam v poslednich dnech nejradeji :) .....

9. 10. 2015 15:29:40

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141359

Pavel Jílek

(81 hodnocení)

10. 10. 2015 20:56:33

Sranda je, že ikdyž mám zaplou kontrolu IP přes htaccess a sám se z jiné IP nedostanu, tak se mi kolikrát stane, že se do administrace nedostanu, protože je admin stránka blokována kvůli špatnému přihlášení. Mám pocit, že ta aplikace to blokuje jen tak ze srandy, aby si uživatel řekl, jooo, to mi tak pomáhá a přitom nechápu jak se stránka může zablokovat kvůli špatnému přihlášení, když se na stránku s přihlášením dostanu jen z jedné IP adresy...

10. 10. 2015 20:56:33

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141358

Bacon

(2 hodnocení)

11. 10. 2015 00:03:33

Nevím, ale nepočítají se pokusy o přihlášení přes XML-RPC taky? Tím pádem by se klidně mohlo stát, že se někdo pokusí přihlásit se špatnou kombinací a lockne tvoje vlastní jméno. Stávalo se mi to taky u iThemes Security, ale začal vyměnil jsem ho za All in One Security.

11. 10. 2015 00:03:33

https://webtrh.cz/diskuse/wordpress-pokusy-o-prihlaseni-do-administrace#reply1141357

Pro odpověď se přihlašte.

Přihlásit