Significado de muchos inicios de sesión fallidos en mi sitio web

1

Instalé el complemento Sucuri Security en mi sitio de wordpress, y me informó que mi sitio web tiene 10 intentos fallidos de inicio de sesión con mi nombre de usuario registrado desde anoche hasta ahora.

Mi sitio web no tiene ningún problema ahora, pero ¿cuál es el significado de este ataque? ¿Qué debo hacer ahora?

    
pregunta Milad Sobhkhiz 01.08.2015 - 08:49
fuente

3 respuestas

1

Creo que es bastante común hoy en día (basado en mis registros de cientos de sitios) que los sitios web de Wordpress son atacados aleatoriamente. Supongo que todavía tiene la página de inicio de sesión en / wp-admin / y que su nombre de inicio de sesión aparece en algún lugar de sus publicaciones (autor) o usando la cuenta "admin".

Básicamente, lo que hacen algunos bots es obtener su ID de su sitio (o probar con 'admin') e intentar intentos de contraseñas fáciles (como los invertidos o muy comunes). No hacen fuerza bruta porque la intención no es cerrar su sitio web o gastar tantos recursos en un solo sitio web. Como puede ver, esos bots intentan acceder aleatoriamente a cualquier sitio web de wordpress con contraseñas débiles (no a su sitio específico). Tienen más posibilidades de hacerlo que forzando un solo sitio. De manera similar, los bots intentan adivinar sus herramientas de administración basadas en web de mysql, que se pueden ver en sus registros de errores como:

  • phpmyadmin /, myadmin /, mysql /, etc ...

Para protegerme contra esos ataques, esto es lo que recomiendo:

  1. Use contraseñas seguras (aún mejor, use paráfrasis de 15 caracteres o más largo)
  2. Oculte su nombre de usuario y muestre su nombre en su lugar (sin embargo, eso no ser 100% efectivo Su nombre de inicio de sesión todavía puede filtrar). Si su nombre es "John", no use "john" como nombre de inicio de sesión.
  3. Agregue la autenticación básica de Apache a su página de inicio de sesión
  4. Si es posible, retire su wp-admin / (no use: / admin / o /iniciar sesión/). Hay muchas maneras de hacerlo, algunas de ellas no tanto. efectivo.
  5. Puede especificar qué direcciones IP aceptar en su página de inicio de sesión (Ejemplo: enlace ).
  6. Agregue HTTPS a su página de inicio de sesión.
  7. Mantenga su instalación de Wordpress actualizada

En caso de que tenga acceso de administración a su servidor de alojamiento (en otras palabras, no está utilizando un servicio compartido), aquí hay otras recomendaciones (algunas se aplican solo a los servidores Linux):

  1. Utilice fail2ban. Puede configurar reglas especiales para prohibir a cualquier persona que intente buscar phpmyadmin o más de X intentos de inicio de sesión en su página de inicio de sesión. (Si no sabe cómo hacerlo, avíseme y publicaré aquí mis filtros).
  2. Actualice su servidor con regularidad (especialmente, apache, mysql y php).
  3. Permita el acceso a su página de inicio de sesión solo desde su país (en caso de que no viaje con frecuencia). Este paso requerirá instalar bibliotecas de ubicación geoip y tener conocimientos de secuencias de comandos (¿quizás haya una forma más fácil de hacerlo?).
  4. Use un firewall y solo permita los puertos que necesita.

Es posible que me falten muchas otras formas de protegerme, pero esas son las onces que uso en mis sitios (alrededor de 500) desde hace 5 años, y hasta ahora no hay incumplimiento (que yo sepa).

    
respondido por el lepe 06.08.2015 - 04:02
fuente
0

No estoy familiarizado con el complemento, pero parece que alguien conoce su nombre de usuario de inicio de sesión y podría haber estado tratando de adivinar su contraseña. No es realmente una fuerza bruta o esperaría ver más intentos fallidos en el registro.

Si fuera yo, instalaría una máquina virtual Linux (para evitar registradores clave), VPN en una red confiable (evitar el rastreo de la contraseña) y cambiaría el nombre de usuario y la contraseña del administrador en el sitio. Un nombre de usuario y contraseña realmente fuertes.

También puede buscar la dirección IP que estaba accediendo a esa página. La mayoría de los usuarios de Cpanel tendrán eso o podría estar usando el conjunto de herramientas de google para el análisis del tráfico.

    
respondido por el Levi 01.08.2015 - 09:22
fuente
0

He pensado que experimentaste un ataque de fuerza bruta pero afirmas que solo 10 intentos fallidos de inicio de sesión Sucuri El plugin te lo ha informado, por lo que no puede ser, al menos por el momento, ese tipo de ataques. Es más bien algo hecho manualmente (y más probablemente por alguien que te conoce, pero este es solo mi punto de vista personal con respecto a mi experiencia con él).

Respecto a este hecho, puedo aconsejarle solo desde esta perspectiva (ataque de fuerza no bruta), por lo que aquí puede hacer algo por el momento:

respondido por el user45139 01.08.2015 - 09:19
fuente

Lea otras preguntas en las etiquetas