Ar1ur

Добавил в www\htdocs\.htaccess следующий фрагмент:

<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Но проблема явно не в этом — файл соответствует тому, что в дистрибутиве. И сегодня же меня взломали в очередной раз, судя по всему — с IP 204.12.247.162. В 16.00 в очередной раз был отредактирован .htaccess, из которого в очередной был удален запрет на обращения к wp-login.php со всех IP, кроме моего. В это же время, в 16.00, пришло сообщение:

A хост, 204.12.247.162(you can check the host at http://ip-adress.com/ip_tracer/204.12.247.162) был заблокирован сайт WordPress в МОЙ САЙТ permanently из-заслишком много попыток не существующий открыть файл. Вы можете войти на сайт вручную сняв блокировку, если необходимо.

Судя по всему, это какой-то бот с сайта majestic12.co.uk. В http-логах информации на 16.00 пока нет, но вот небольшая часть обращений с этого IP:

204.12.247.162 — — [21/Oct/2013:11:58:15 +0000] «GET /robots.txt HTTP/1.0» 200 420 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

204.12.247.162 — — [21/Oct/2013:11:58:41 +0000] «GET /?feed=rss2&tag=%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8-%D0%B1%D1%83%D0%B4%D1%83%D1%89%D0%B5%D0%B3%D0%BE HTTP/1.0» 404 961 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

204.12.247.162 — — [21/Oct/2013:11:58:28 +0000] «GET /?feed=rss2&tag=%D0%BF%D0%B0%D1%82%D1%87 HTTP/1.0» 301 — «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

204.12.247.162 — — [21/Oct/2013:11:58:25 +0000] «GET /?feed=rss2&tag=%D0%B1%D0%BE%D0%B4%D0%B8%D1%85%D0%B0%D0%BA%D0%B5%D1%80%D1%8B HTTP/1.0» 404 912 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

204.12.247.162 — — [21/Oct/2013:11:59:10 +0000] «GET /novy-j-rejting-proizvoditel-nosti-smartfonov-ot-which/ HTTP/1.0» 200 26153 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

204.12.247.162 — — [21/Oct/2013:11:59:24 +0000] «GET /?tag=%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D0%BE HTTP/1.0» 404 24677 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

204.12.247.162 — — [21/Oct/2013:11:59:17 +0000] «GET /?tag=%D0%B1%D0%B0%D1%82%D0%B0%D1%80%D0%B5%D1%8F HTTP/1.0» 404 24677 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

204.12.247.162 — — [21/Oct/2013:11:59:20 +0000] «GET /?tag=%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C HTTP/1.0» 404 24677 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

204.12.247.162 — — [21/Oct/2013:11:58:56 +0000] «GET /?feed=rss2&tag=%D1%8D%D0%BD%D0%B5%D1%80%D0%B3%D0%B5%D1%82%D0%B8%D0%BA%D0%B0 HTTP/1.0» 404 912 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

204.12.247.162 — — [21/Oct/2013:11:58:53 +0000] «GET /?feed=rss2&tag=%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BC%D0%BE%D1%82%D0%BE%D1%86%D0%B8%D0%BA%D0%BB%D1%8B HTTP/1.0» 404 948 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»

Что посоветуте?

Разрешите два уточнения:
1) Правильно ли я понял, что это будет означать невозможность написания комментариев к записям? Не хотел бы этого лишаться.
2) Можно ли как-нибудь узнать не был ли он уже взломан и модифицирован нужным образом?

Проклятье, опять моя невнимательность… Мне ведь писал об этом Юрий. Я сначала пробую на одном из двух своих сайтов, вот и забыл потом прописать то же самое и на втором. Большое спасибо!

Похоже, что моя невнимательность была не при чем. Сегодня получил очередное сообщение о слишком большом количестве входов, в логе увидел, что успешно обращались к wp-login. Например:

188.186.51.75 — — [20/Oct/2013:06:15:58 +0000] «POST /wp-login.php HTTP/1.0» 200 4611 «http://МОЙ САЙТ/wp-login.php» «Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1»

Отрываю www\htdocs\.htaccess, и что же: блокировки обращений к wp-login.php со всех IP кроме моего — как не бывало. Дата изменения файла — вчера, хотя я вчера ничего не менял, новых плагинов тоже не ставил (меня в это время даже дома не было). При этом в панели управления хостера установленный мною запрет на полное (даже владельцу) редактирование www\htdocs\.htaccess стоит.

Буду писать запрос хостеру на ftp-логи.

Теперь понятно, спасибо. Одного не пойму — почему в тех же Better WP Security и Wordfence Security не прописаны все эти элементарные меры предосторожности в виде галочки на опции «Блокировать доступ к wp-admin и wp-login.php всем, кроме заданных IP»? И кстати, что скажете про BulletProof Security, стоит ли с ним связываться? Я как началась ночная атака поставил, но настройки показались слишком сложными, не наломать бы дров.

Скорее появятся )) Если что-то хорошее для чайников знаете — буду очень признателен.

Проклятье, опять моя невнимательность… Мне ведь писал об этом Юрий. Я сначала пробую на одном из двух своих сайтов, вот и забыл потом прописать то же самое и на втором. Большое спасибо!

Ясно, спасибо.

Тем не менее, в спам-папке с тремя комментами только у одного из них указан адрес, и он другой — 58.49.50.234. У двух других указаны только сайты (post-2012.com/bags2013/louis-vuitton-592.html и www.chaussuresclhommepascher.com). Реальный комментарий есть, у него обычный IP.