¿Cómo proteger WordPress de ataques de fuerza bruta?

Navega tus respuestas
1

Uno de mis sitios de WordPress está siendo atacado constantemente con fuerza bruta. Tengo los plugins de WordFence y Clef instalados. El número de intentos de inicio de sesión se limita a uno solo. La contraseña es muy fuerte, el nombre de usuario no es un "administrador". Con el complemento Clef configurado, me pregunto cómo los atacantes pueden incluso acceder al inicio de sesión & formulario de contraseña? Pero de alguna manera sigo recibiendo notificaciones de WordFence sobre intentos bloqueados. ¿Hay alguna forma de prevenir estos ataques? ¿Son estas capas de seguridad suficientes?

Actualizar:

Aquí está el ejemplo de notificación de WordFence:

  

Se ha bloqueado a un usuario con la dirección IP {IP} desde el inicio de sesión o el uso del formulario de recuperación de contraseña por el siguiente motivo: se usó un nombre de usuario 'admin' no válido para intentar iniciar sesión.

     

IP del usuario: {IP}

     

Nombre de host del usuario: {nombre de host}

     

Ubicación del usuario: {país}

También, en los registros, puedo ver las solicitudes al archivo xmlrpc.php .

Clef es un poco inútil, supongo, porque una vez que no inicies sesión con la aplicación, se mostrará el formulario de inicio de sesión normal.

¿Es posible bloquear el acceso a wp-login para todos, y mantenerlo accesible solo con algún tipo de token secreto como la función de anulación de Clef: 

http://your-site-name.com/wp-login.php?override=fhfd87382rfjsh0
    
pregunta Nikita 29.04.2016 - 17:29
fuente

3 respuestas

4

Si tiene acceso al servidor, puede instalar fail2ban .

Necesitarás configurar la cárcel para wordpress /etc/fail2ban/jail.d/wordpress.conf 

[wordpress]
enabled = true
filter = wordpress
logpath = /var/log/auth.log
port = http,https

$ service fail2ban restart

Para obtener más información, consulte aquí .

Asegúrese de que no está utilizando el nombre de usuario predeterminado (admin) y use una contraseña segura.

Otra forma de protegerse contra el ataque de fuerza bruta es hacer una restricción en wp-login 

<Location /wp-login.php>
                Order deny,allow
                deny from all
                allow from 192.168.1.1 <- put your ip here
</Location>

Otra solución es proteger wp-login con htaccess: 

# Protect wp-login
<Files wp-login.php>
AuthUserFile ~/.htpasswd
AuthName "Private access"
AuthType Basic
require user mysecretuser
</Files>

Más sobre protección contra ataques de fuerza bruta que puedes encontrar aquí: enlace

    
respondido por el Mirsad 29.04.2016 - 21:00
fuente
1

Supongo que está recibiendo muchos de los inicios de sesión fallidos de otros países fuera de los EE. UU.

Lo que recomiendo para WordPress es descargar un bloqueador de IP de los complementos, lo que le permite bloquear ciertos países o todos los países, además de los que desee. En mi caso, tengo un sitio web que solo se puede ver en los EE. UU., Así que bloqueé a todos los demás países para que no lo vieran y esto funcionó mejor para mí.

También cuando se bloquea una IP, puede configurarlo para que no puedan acceder a su sitio web durante un período de tiempo determinado por dirección IP.

Finalmente, reduzca sus inicios de sesión límite a un número bajo como 1 o 2, de modo que si alguien no puede iniciar sesión, tendrá que usar otra dirección IP para intentar iniciar sesión porque usted bloqueó su dirección IP.

Espero que esto ayude.

    
respondido por el Carlos Alan 29.04.2016 - 21:15
fuente
0

Al usar CloudFlare (como se menciona en uno de tus comentarios), suceden dos cosas.

El servidor y la aplicación no son conscientes de que se usa CloudFlare (un proxy invertido). Para solucionar este problema, debe indicar al software utilizado (WordPress y fail2ban) dónde encontrar esta IP de visitantes original. De lo contrario, estaré trabajando con los IP de CloudFlare (ya que esa es la nueva IP entrante ahora).

Para WordPress recomiendo echar un vistazo a: enlace

Para Fail2Ban, recomiendo echar un vistazo a: enlace

    
respondido por el Bob Ortiz 01.05.2016 - 11:37
fuente

Lea otras preguntas en las etiquetas

¿Por qué SSLStrip funciona en algunos sitios https y no en otros? [duplicar] Configuración de DNSsec para un TLD exótico