Поддержка Проблемы и решения Не могу зайти в админ панель, выскакивает ошибка 403

  • Не могу зайти в админ панель своего сайта построенного на WordPress, выскакивает ошибка 403. Вся проблема в том что раньше все было отлично и я спокойно заходил, а потом резко перестало заходить, ничего в файлах до этого не менял. Может кто помочь?
    скриншот

Просмотр 9 ответов — с 16 по 24 (всего 24)
  • всем спасибо за помощь, ответили. «…… Роботы атаковали php файл wp-admin.php wp-login.php без остановки. Т.е. пытались подобрать пароль. Атака была сильной и пришлось заблокировать доступ к этим php файлам на уровне конфига сервера. …… ******** сказал что исправит ситуацию — изменят на уровне всех сайтов» (не только мой сайт был атакован).
    …… «я думаю день два (надеюсь) и после этого я открою все доступы.»

    Я использую для защиты такие плагины

    https://wordpress.org/plugins/blackhole-bad-bots/

    https://wordpress.org/plugins/block-bad-queries/

    Пока атак не наблюдал.

    Хостинг странный. По идее у них должна быть более продвинутая защита от атак, чем блокирование админок сайтов.

    Модератор Yui

    (@fierevere)

    ゆい

    рубить сразу в nginx.conf — жестоко, однако, что бы там alexander70 не говорил, но более половины хостингов поступают примерно также,
    достаточно было бы конечно убрать права на чтение с папки /wp-admin/
    эффект был бы таким же.

    https://wordpress.org/plugins/blackhole-bad-bots/
    Это ханипот, он НИЧЕМ не поможет от атак по подбору паролей

    https://wordpress.org/plugins/block-bad-queries/
    Этот работает по блокировкам основываясь на некоторых правилах для параметров запросов GET, он НИЧЕМ не поможет от атак по подбору паролей.

    В принципе могут помочь классические плагины безопасности с черными списками, помогут не сильно, но помогут, надоедливые боты получат бан на сутки (как минимум) и получая в ответ 404 прекратят долбить вход в админку.

    Старый вариант
    https://wordpress.org/plugins/limit-login-attempts/
    (пользовалась сама)
    чуть более новый:
    https://wordpress.org/plugins/limit-login-attempts-reloaded/

    также могу порекомендовать : https://wordpress.org/plugins/wp-cerber/
    это комбайн, но не совсем распухший до безобразия.

    Интересно, You. Даже если пароль достаточно сложный, содержит буквы разных регистров, спецсимволы, с помощью атаки можно взломать такой пароль?

    Модератор Юрий

    (@yube)

    можно взломать такой пароль?

    Даже если [всё вышеперечисленное], количество вариантов конечно, а потому вероятность успешного подбора отлична от нуля. То есть, доп. защита не помешает. Если она не параноидальная и не слишком ресурсоёмкая.

    Я прикинул сколько вариантов паролей нужно перебрать для взлома. Пароль из 4-х цифр имеет 10 тысяч вариантов. Из 12 цифр триллион вариантов. А если еще буквы добавлять, то триллионы триллионов 🙂

    разблокировали? решилась проблема?
    у меня сейчас такая же)

    dragonslater,

    Роботы атаковали php файл wp-admin.php wp-login.php без остановки. Т.е. пытались подобрать пароль. Атака была сильной и пришлось заблокировать доступ к этим php файлам на уровне конфига сервера

    Так что у вас за хостинг всё же?)

    alexander70,

    Хостинг странный. По идее у них должна быть более продвинутая защита от атак, чем блокирование админок сайтов.

    Интересно что за контора, потому что поведение описано обычного небольшого реселлера, а у таких зачастую нет ни своих безопасников, ни толковых админов, в итоге подобная стрельба себе в ногу — дело обычное.

    Даже если пароль достаточно сложный, содержит буквы разных регистров, спецсимволы, с помощью атаки можно взломать такой пароль?

    Для сложных паролей уже давно «фермы» существуют, хоть свои, хоть в аренду.

    Можно на время атаки записывать все передаваемые логины/пароли и потом посмотреть, целенаправленный это подход, обычный брут или абьюз. Редко, но бывает так, что «брутят» одни и те же комбинации (admin/qwe123), рассчитывая как раз на подобный подход со стороны хостера. Есть и такие конторы у нас, которые вообще блокируют услугу при маломальских намёках на проблемы. Более простой вид абьюза с контактными формами, думаю, знаком уже почти всем.

    А если еще буквы добавлять, то триллионы триллионов

    А после этого посмотрите списки наиболее популярных паролей за последние, скажем, 5 лет 🙂

Просмотр 9 ответов — с 16 по 24 (всего 24)
  • Тема «Не могу зайти в админ панель, выскакивает ошибка 403» закрыта для новых ответов.