¿Las direcciones IP de la lista negra son una pérdida de tiempo?

El bloqueo de un par de miles de direcciones IP no supondrá una carga significativa para su servidor web. Si está utilizando iptables , la sobrecarga es bastante insignificante.

He implementado fail2ban en mi servidor, y enumera a todos los que prueban una fuerza bruta en mi servidor. Portscanning obtiene el martillo de prohibición también. Da una prohibición temporal (la configuré en 6 horas), así que no tengo una lista enorme de direcciones en la lista negra, y el atacante se da por vencido en mi servidor antes de que la prohibición expire.

También puedes usar fail2ban para proteger Wordpress y Apache. Si alguien obtiene demasiados errores HTTP-404 en un período de tiempo, prohíbalos. Si envían spam, prohibirlos.

Como la gran mayoría de los ataques de hoy no son ataques dirigidos, una lista negra hará que el atacante (o bot) salga de su servidor y ataque al siguiente en la lista. No es para hacer que su servidor sea imbatible, sino para hacerlo menos interesante que el siguiente en la lista.

Las listas negras de IP siguen siendo valiosas, pero es necesario comprender el alcance. Si una IP está escaneando, sondeando, haciéndolo, entonces una simple prohibición en el nivel de firewall es una forma simple, fácil y rápida de evitar que ONE IP haga daño potencial. Pero, de ninguna manera debes considerar que la propiedad intelectual sea la verdadera amenaza. Es una amenaza única en este momento . Los atacantes pueden cambiar la IP, y la IP bloqueada puede terminar siendo asignada a un usuario legítimo.

Las listas negras de IP SON útiles a corto plazo para proporcionar un remedio inmediato a un único vector de ataque. Si entiende ese alcance, entonces puede evaluar mejor los riesgos para su entorno.

Tu pregunta es tan amplia de responder ya que hay tantas cosas que podrías hacer.

Debería realmente mirar cada puerto usado en su servidor y filtrarlos tanto como pueda. ¿No usas o necesitas puerto? Luego bloquéalo completamente.

Por ejemplo, de política de firewall:

1. SSH debe ser una IP de la lista blanca
2. FTP debe ser una IP de lista blanca (dependiendo de lo que puede hacer la cuenta)
3. HTTP / HTTPS debería usar solo IPs de listas negras pero recuerda lo que @Travis Pessetto dijo anteriormente.
4. Bloquee cualquier otro tráfico en los puertos que no se utilizan.

WordPress ahora sus tareas relacionadas específicas del proveedor que habla:

• Usa una URL personalizada para tu página de administrador
• Use el atributo nofollow para decirle al rastreador del motor de búsqueda que se detenga, pero no haga una lista en su .htaccess ya que estará exponiendo los enlaces ocultos a todos

¿Cargando enlaces de spamming?

• Use un captcha para las publicaciones y suba cajas
• Limite la actividad del usuario por x publicaciones por y cantidad de tiempo por cuenta de usuario.
• Limite la actividad del usuario por x publicaciones por y cantidad de tiempo por IP (aunque un umbral mucho más alto que la cuenta del usuario)

La lista sigue y sigue. Espero haber cubierto algunos conceptos básicos que puedes analizar.

Yo diría que poner en una lista negra una IP pública es bastante inútil si el atacante está motivado, simplemente la cambiarán.

La lista negra de una dirección IP interna, por otro lado, puede proporcionar algunos beneficios (por ejemplo, si tiene su sitio web público o una parte de ella alojada dentro de su red interna) sería extremadamente prudente incluir en la lista negra esa dirección IP de tantas máquinas. como practica Ya que realmente no quieres que un atacante llegue a través de un agujero en Wordpress y esté a un paso de tus sistemas de nómina.

La inclusión en una lista negra de una IP pública solo es útil si se realiza durante un período de tiempo corto, por ejemplo, 8 horas. Suficiente para liberar el servidor durante un tiempo y el tiempo suficiente para que el atacante se rinda.