Если вы не знаете как работает экосистема плагинов вордпресс — то лучше не блокировать вордпресс бездумно.
Не удивлен что у вас отвалился один плагин. Разраб вам верно сказал.
Надежный пароль админа из 12ти букв символов. + один маленький плагин что ограничивает брутфорс формы входа. Limit login attempts
Больше вам ничего не нужно.
Модератор
Yuri
(@yube)
В итоге один плагин перестал работать. Возможно он самописный, на ajax.
Все плагины самописные, самозарождающихся, слава богам, пока нет 🙂
Закрывая директорию /wp-admin/
, нужно обеспечить открытость /wp-admin/admin-ajax.php
, т.к. использование этого скрипта для обработки ajax — канон (хотя лично я считаю, что это была плохая идея).
Модератор
Yuri
(@yube)
плагин что ограничивает брутфорс формы входа. Limit login attempts
Хорошая штука, но не панацея.
Он ограничивает с одного IP. В результате на одном из подопечных сайтов он вчера заблокировал аж три попытки входа, а в Activity Log за вчера 110 записей «неверный пароль». Потому что долбят с разных IP.
Модератор
Yui
(@fierevere)
永子
Limit login attempts
Хорошая штука, но не панацея.
он устарел, он не ограничивает подбор через REST API и XML-RPC
Самых тупых и нахальных ботов обычно все же банит, а подбирать будут, всех забанить невозможно.
Хуже даже не то, что идет подбор паролей для админки WP,
а то что сейчас подбирают пароли для ssh даже на альтернативных 22-му портах, находят быстро, долбят все подсети, разные ДЦ, домашние роутеры.
Ставьте пароли надежные, неподбираемые. Все эти боты обычно «ходят по словарю», иногда на удивление небольшому.
Модератор
Yuri
(@yube)
он устарел, он не ограничивает подбор через REST API и XML-RPC
Судя по журналу, только его и ограничивает 🙂
p.s. Ставил не столько для защиты, сколько ради интереса, после того, как какой-то супертупой бот своими попытками входа с арабскими логином и паролем спровоцировал шквал писем об illegal mix of collations.
Модератор
Yui
(@fierevere)
永子
тогда речь не про https://wordpress.org/plugins/limit-login-attempts/ (оригинальный), а про новые форки на его основе, оригинал 8 лет уже не обновлялся 😉
Модератор
Yuri
(@yube)
Sorry, таки да, Reloaded. Что, впрочем, не отменяет «не панацея» 😉
Спасибо за ответы всем!
@otshelnik-fm Скажу честно, был сайт лет 5 назад который появился и прослужил до прошлого года, его обновляли постоянно, но ajax там действительно не было, а ведь он находится как я понял именно в wp-admin. Если честно, блок админ.части по ip считаю весьма разумно, так как нет нагрузки на хостинг в первую очередь. К примеру, у sweb хостинга есть такое понятие как нагрузка/час, и если она будет превышать постоянно, то они вправе отключить услуги за это (к счастью, я от них ушел в mchost), а «долбёжка» формы аутентификации по сути и есть нагрузка, поэтому я считаю здесь логичнее закрыть админ часть, исключая ajax.
Не панацея, но он как молоток — хороший старый инструмент))
Конечно при желании надо переходить на новые инструменты защиты. Но по личному опыту — он хорошо работает.
А admin-ajax.php — жду когда разрабы перестанут его использовать. Rest api на замену пришел. Стал его использовать.