Поддержка Проблемы и решения Попытки подобрать пароль от админки

  • Решено Zaken

    (@nushaba)


    Привет. Сайт не хочу палить, но уже несколько месяцев кто-то пытается войти в админку.
    Разумеется админа я убрал сразу после создания сайта, настроил блокировку на админа, но всё же напрягает несколько моментов:
    1. Как узнали страницу авторизации? Я её тоже поменял, и стандартный /wp-admin не работает уже. В исходном коде ссылки на страницу авторизации нигде нет, у меня только один пользователь.
    2. Поставил плагин рекапчта, а потом поставил каптчу и в настройках плагина WP Security, всё равно попытки авторизации продолжаются. Вот как обошли каптчу самую свежую от гугла? Сам тестировал — работает исправно.

    Сегодня обновил все плагины, сейчас исправляю последствия, может в плагине каком-то была уязвимость? Версия движка самая последняя стоит. Кто сталкивался с подобным, может есть какие-нибудь рекомендации?

Просмотр 8 ответов — с 16 по 23 (всего 23)
  • anonymized-14765447

    (@anonymized-14765447)

    Reverse IP показал не все домены, ну я и ожидал этого, просто хотел убедиться.

    Это не «не показал все домены», это я ничего писать не стал тут 🙂 Доменов-то там многовато выпало.

    Думал в директ запустить сайт, но когда увидел стоимость перехода в 1500 рублей, понял что конкуренция злая, и чего ждать от партнёров не ясно, вот и решил перестраховаться по полной.

    В «Директе» можете сразу ждать скликивание бюджетов как норму жизни 🙂

    По поводу конкуренции и последствий — понял, принял. Мысль здравая, но может увести в дебри (особенно по части плагинов «безопасности» и прочего такого же). Есть админ/разработчик — просите его не забывать и сначала планировать, а потом делать, ибо последствия «ой, забыл» сами видите какие. Это ещё при поверхностном взгляде такое вывалилось, а если копать начнут, то у вас под раздачу первым, скорее всего, пошёл бы Битрикс, а не WordPress даже.

    Контакты одинаковые, да, но это надо додуматься, что бы по ним пробить другие сайты, для вычисления реального IP сервера.

    У меня сработала как раз обратная логика, как некое подтверждение, что эти «яйца в одной корзине» находятся и между этими доменами есть связь. Проверка данных — is a must. По этой же логике, кстати, спрятанный за CF bal*.ru можно отложить в сторону и ломать сам сервер или расположенные на нём проекты. А через это уже получить доступ к bal*.ru, если нужен именно он.

    Как я понимаю взломы, есть два пути:

    Путей взлома куда больше, чем два. И обороняющаяся сторона в 99% случаев проиграет всё равно. Тут вопрос квалификации того, кому «приспичило» (или кому заплатили, что случается ещё чаще).

    Год бана поставил, что бы у злоумышленника закончились IP адреса быстрее.

    Методика РосКомНадзора сразу вспоминается. Они такими же ковровыми бомбардировками по Интернету сейчас орудуют. Результат можете оценить сами 🙂

    Тут надо сделать таблицу с разрешёнными IP адресами

    Опять же, инструментарий РКН — белыё и чёрные списки. Вроде бы идея ок, но кто будет в белом списке и с каким доступом? Такие вопросы надо планировать тщательнее и более обоснованно, что ли.

    Вообще материал этой темы лично для меня оказался очень полезен, много почерпнул знаний, пару сайтов нашёл толковых по безопасности вордпреса.

    Это хорошая новость 🙂

    Автор Zaken

    (@nushaba)

    Вообще ковровая бомбардировка уже дала плоды в купе с клоудфлаером. У них не так и много IP адресов, а на данный момент все адреса иностранные уже забанены. Если попадёт в бан русский IP, тогда придётся добавить его в белый список, и думать как дальше поступить. Сейчас уже больше суток попыток войти в админку не было.

    Ваша логика по поводу юр адресов сайта в данном примере верна, так как у этих сайтов одинаковый IP, но для этого я и собираюсь поменять его на сервере, и больше светить. Так что это уже не существенный косяк.

    anonymized-14765447

    (@anonymized-14765447)

    Вообще ковровая бомбардировка уже дала плоды в купе с клоудфлаером.

    Если вам нужен только трафик из РФ, то не проще ли кардинально вопрос решить с отсечением зарубежного трафика? Это я к тому, что в списке может оказаться и немалое количество нормальных людей, которым будет доступ на ваш сайт закрыт. Так что помимо массовых блокировок есть более элегантные решения.

    у этих сайтов одинаковый IP, но для этого я и собираюсь поменять его на сервере

    Смена одного IP уже не поможет, т.к. данные засветились, далее понять что к чему — дело техники. Как я уже писал выше, проект нужно изолировать, путём переноса на другой сервер, и сразу же постараться не засветить новые данные 🙂

    Если вам нужен только трафик из РФ, то не проще ли кардинально вопрос решить с отсечением зарубежного трафика?

    Очень плохая идея в принципе. А в последнее время вообще прямой путь в пропасть.

    Я честно говоря поражен… Вместо того, чтобы просто за пару минут ограничить доступ к админке — такие телодвижения, поиски не существующих проблем/создание новых, погоня за призраками.
    Но.. у богатых свои причуды (с)

    anonymized-14765447

    (@anonymized-14765447)

    Очень плохая идея в принципе. А в последнее время вообще прямой путь в пропасть.

    Я о том и говорю:

    Так что помимо массовых блокировок есть более элегантные решения.

    Но вместе с тем пытаюсь понять причину таких странных действий. Тот же РКН сейчас — ярчайший пример как делать не надо.

    Вместо того, чтобы просто за пару минут ограничить доступ к админке — такие телодвижения, поиски не существующих проблем/создание новых, погоня за призраками.

    ТС уже раскрыл суть своего беспокойства выше, но методы пока «хромают» 🙂

    Автор Zaken

    (@nushaba)

    Банить иностранные IP чревато, а вообще, я же не к сайту доступ запрещаю баном, а только к странице авторизации. И естественно я буду прятать IP всех сайтов в клоудфлаере, после чего поменяю IP серверу.

    Снести всю эту ересь, вернуть нормальную работу движка и установить доп. http-авторизацию на админку.

    Вот так напр:

    <FilesMatch (wp-login\.php|load-scripts\.php|load-styles\.php)>
    AuthType Basic
    AuthName «Что ты тут забыл, негодный?»
    AuthUserFile /путь/к/файлу/за/пределами/вебсерера/.htpasswd
    Require valid-user
    </FilesMatch>

    Можно подробнее? Куда это как вписать и какому файлу и что даёт.
    Задумываюсь что плагинов многовато лишних стоит которые можно заменить

    • Ответ изменён 6 лет назад пользователем debryansk32.

    Можно подробнее? Куда это как вписать

    В .htaccess, но не прямо так, а сперва погуглить «как установить http-авторизацию».

    А будут ещё вопросы — создавайте новый топик, согласно п2.правил форума.

Просмотр 8 ответов — с 16 по 23 (всего 23)
  • Тема «Попытки подобрать пароль от админки» закрыта для новых ответов.