Recientemente he configurado WordPress en un VPS, y está bajo ataque continuo desde entonces. Tomé algunas medidas para protegerme de algunos ataques de fuerza bruta, sin embargo, al observar algunos de los registros no estoy seguro de si eso es suficiente.
A continuación se muestra una de las muchas solicitudes aproximadas que veo en mi registro de Apache:
12x.24x.3x.45 - - [30/Oct/2017:20:34:24 +0000] "GET http://4x.9x.23x.250:58204/jsip.php?zl=IP&IP=3x.18x.24x.19x&DK=80&DD=RZLWHADALAHBNPRL HTTP/1.0" 301 395 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.92 Safari/537.1 LBBROWSER"
Por lo que pude entender, el atacante está intentando inyectar y ejecutar código PHP desde un sitio remoto, y el servidor respondió con 301 (movido permanentemente) y la respuesta contenía 395 bytes.
¿Cómo puedo proteger al servidor para que no procese dichas solicitudes?
- ¿La regla .htaccess para negar valores como ese?
- ¿El mod de Apache se reescribe para rechazar tal solicitud?
- ¿Desinfectar desde el equilibrador de carga de la aplicación?
- ¿Apache / PHP / Wordpress es vulnerable a tales solicitudes?
¿No deberían ellos ya tener esta protección, y puedo confiar en ellos y relajarme? Si no es así, no entiendo cómo hay tantos sitios de Wordpress todavía en funcionamiento, suponiendo que muchos de ellos probablemente no tenían expertos en seguridad trabajando para el sitio.