Hva gjør dere for å unngå WP-hacking

En tråd i 'Wordpress' startet av Bjørn, 3 Jul 2013.

  1. hvaer Medlem

    Innlegg:
    256
    https://www.duosecurity.com/product er helt brilliant. Kombiner dette med Cloudflare Profesjonell og Wordfence Premium, og du har en side som er sikker som banken(vel, ikke helt, men så nærme man kan komme med WP) på innloggingsnivå.

    Fordelen med Cloudflare Premium er at den luker ut bruteforce-nettverkene fort, så du får den trafikken i særs liten grad.

    Bruk gjerne særnorske tegn i passordene, for det vil aldri en bot forsøke å finne på.

    F.eks
    JegGåriButikkenKlokkenÅtte8Etter_Hæren gir dette resultatet, og selvom du deler det på 100000 maskiner som kjører bruteforce samtidig, så vil det fortsatt være mange år igjen...

    Selv så ville jeg kjørt enten https://managewp.com/ eller CMS Commander | Full control for Wordpress, Drupal, Joomla and phpBB!, og ha umulige bruker/pass kombinasjoner, som man lagrer i f.eks Passpack. Det gir autoinnlogging til de ulike WP-installasjoner man har, fra en av verktøyene over, så det er ekstremt sjelden man trenger å finne frem passord fra Passpack. Og da er det ikke noe problem med 50-tegnspassord...
     
  2. TorsteinO

    TorsteinO Art Director & grunder

    Innlegg:
    4.642
    yep, sånne passord som det hvaer foreslår der er helt klart det beste! Ikke bruk passord ala r2"w3lkr2"#$e,fmnwfj9§!§wue4rtj3ofkjeloriuv9ergukm2 - den slags er grisevanskelig for oss å huske, men ikke noe verre for en datamaskin å gjette enn en setning med like mange tegn
     
  3. Tony J

    Tony J Alle skal få

    Innlegg:
    1.509
  4. TorsteinO

    TorsteinO Art Director & grunder

    Innlegg:
    4.642
    xrumer - er ikke det primært for å legge inn kommentarer på blogger og forumer automatisk? altså blackhat lenkebygging?
     
  5. Dseller Medlem

    Innlegg:
    425

    Hvordan blir denne koden når du legger til fler ip'er`?

    <Files ~ "^wp-login.php">
    Order deny,allow
    Deny from all

    Allow from 111.111.111, 222.222.222 (SLIK?)
    </Files>


    EDIT: når man skal hacke en WP side er det ikke mye bedre og hacke seg inn i Cpanel?
     
    Sist redigert: 15 Aug 2013
  6. TorsteinO

    TorsteinO Art Director & grunder

    Innlegg:
    4.642
    Fyttirakkern, nå har jeg akkurat hatt en SLITSOM runde med bruteforceangrep, tror jeg har fått 6000 mail fra wordfence siden i går kveld! Jeg hadde lagt inn litt tilpasninger i .htaccess, blant annet passordbeskyttet wp-login.php, men selv om jeg får det opp selv, så får jeg allikevel flere mail om innloggingsforsøk. Lurer på om det kan være via xmlrpc det kommer, må sjekke mer rundt dette!
     
  7. Dan Åsen Hansen

    Dan Åsen Hansen Medlem

    Innlegg:
    914
    Jeg installerte "Hide My WP" på Sydhavsposten, og har ikke hatt et eneste forsøk siden. Har ellers prøvd det ".htaccess-trikset" på et par andre sider, men der dukker det faktisk opp et og annet forsøk fortsatt (ref; Limit Login Attempts) men ikke i det omfang som tidligere ...
     
  8. TorsteinO

    TorsteinO Art Director & grunder

    Innlegg:
    4.642
  9. Tonny Kluften

    Tonny Kluften Administrator

    Innlegg:
    15.946
    En del av rutinen med å sette opp Wordpressinstallasjoner bør være å slå av Pingback og kommentarer samt å aktivere Akismet.
     
  10. Travellingman

    Travellingman Nettgrunder

    Innlegg:
    2.109
    Kan ikke slå av kommentarer når man ønsker å ha det, men Akismet er selvfølgelig et must.
     
  11. thomasstr

    thomasstr Medlem

    Innlegg:
    160
    Vi har også hatt dette fra noen IPer i dag. Har bare blokkert disse inntil videre. Eller så er det bare å skrive et bash script som legger til .htaccess i alle brukerne som har wp installert :)
    Det gjorde jeg også forsåvidt.
     
  12. Tonny Kluften

    Tonny Kluften Administrator

    Innlegg:
    15.946
    Jeg kjører innlogging til wp-login.php på servernivå. Fungerer som bare det, har ikke problemer med brute force angrep lenger fordi angriperen ikke kommer til wp-login.php. La inn det etter den første store angrepet tidlig i fjor, og de senere angrep har jeg ikke merket.
     
  13. TorsteinO

    TorsteinO Art Director & grunder

    Innlegg:
    4.642
    Hvordan har du løst det, Tonny?
     
  14. Tonny Kluften

    Tonny Kluften Administrator

    Innlegg:
    15.946
    Vet ikke :D

    Men han som ordnet det for meg forklarte det slik:

    "Teknisk sett fungerer det slik at apache spør om passord for alle filer som heter wp-login.php. For å sette det opp må man redigere apache-konfigurasjonen manuelt via ssh, og opprette en FilesMatch-regel som matcher på wp-login.php og passordbeskytter denne med standard apache passordbeskyttelse."
     
  15. thomasstr

    thomasstr Medlem

    Innlegg:
    160
    <FilesMatch "wp-login.php">
    AuthUserFile /home/USER/.htpasswds/public_html/passwd
    AuthName "GTFO"
    AuthType Basic
    require valid-user
    </FilesMatch>

    Kan vel gjøres slik tenker jeg:)
     

Del denne siden