Kjapp og trygg hosting for Wordpress

Hva gjør dere for å unngå WP-hacking

zapotek

Medlem
<Files ~ "^wp-login.php">
Order deny,allow
Deny from all

Allow from x.x.x.x
</Files>

Denne metoden ser i utgangspunktet genial ut. Når jeg tester dette med å sette inn en annen ip-adresse enn min egen, så blir jeg forhindret tilgang. Skifter jeg til min ip, så får jeg tilgang.

MEN av en eller annen grunn stopper den ikke brute-force-forsøkene utenfra. Jeg får fortsatt like mange mailer fra Limit login attempts om mislykkende innloggingsforsøk (2-3 forsøk i minuttet siden søndag morgen på en side). Noen som har en ide om hvorfor dette skjer? Hvordan klarer de tydligvis å omgå wp-login.php?
 

thomasstr

Medlem
Denne metoden ser i utgangspunktet genial ut. Når jeg tester dette med å sette inn en annen ip-adresse enn min egen, så blir jeg forhindret tilgang. Skifter jeg til min ip, så får jeg tilgang.

MEN av en eller annen grunn stopper den ikke brute-force-forsøkene utenfra. Jeg får fortsatt like mange mailer fra Limit login attempts om mislykkende innloggingsforsøk (2-3 forsøk i minuttet siden søndag morgen på en side). Noen som har en ide om hvorfor dette skjer? Hvordan klarer de tydligvis å omgå wp-login.php?

Har du en log du kan vise til? Det er alltid interessant med logger. For her står det vanligvis hvordan angrepet ditt har tatt plass og hvilken feilmelding de har fått tilbake. Du kan se i error_log i public_html/ eller i apache-log i kontrollpanelet.

Det finnes mange alternativ.
En annen mulighet er å endre wp-login.php til noe annet (wp-logginn.php f.eks). Eller om du spør administrator om å legge til en ModSec-regel om servern bruker det. For å slippe høy belastning kan du enkelt opprette en tom wp-login.php. Da tar det ikke så altfor mye ressurser for serveren eller siden.
 

zapotek

Medlem
Fant denne tråden på Wordpress.org, hvor omgåing av wp-login.php diskuteres (uten at jeg ble så mye klokere av den grunn): https://wordpress.org/support/topic/plugin-better-wp-security-bypass-to-login-hide-or-hide-backend

"
Let me restate this a little clearer.

The wp-login hits I am seeing in my access_log ARE NOT taking advantage of the "wp-login.php?loggedout=true" loophole.

The access is straight to ""wp-login.php" ... and the server is responding with a "200 all okay status code" NOT the "302 redirect to /notfound" that I see when I try and read the status code from "wp-login.php".
"
 

xdex

Medlem
  • Bruke minst mulig plugins (eksempel: egen plugin for å legge inn google analytics? neitakk)
  • Passe på at alt er oppdatert, og hold deg oppdatert på hva som skjer i WP miljøet.
  • Unngå brute-force attacks med IP blocking, re-capcha etc.
  • Ha riktige innstillinger i php.ini filen, og andre system/apache filer.
  • Forstå litt PHP og hva plugins gjør, før du installerer noe, koster deg noen få minutter, koster deg dager om noe skjer.
  • Flytt wp-config.php ut fra root
  • Gjør det vanskeligere for bot's/crawlere å finne deg, rename wp-admin etc, og endre RSS navn osv.
  • Bruk ett sikkert og langt passord, ikke stol på andre, de stoler uansett ikke på deg.
Dersom uhellet er ute, skal det ikke være noen fare, for du har vel tatt BACKUP?!?!?
 
Topp