Hva gjør dere for å unngå WP-hacking

En tråd i 'Wordpress' startet av Bjørn, 3 Jul 2013.

  1. TorsteinO

    TorsteinO Art Director & grunder

    Innlegg:
    4.642
    Det høres jo stort sett ut som en standard htaccess/htpasswd-variant, akkurat som det jeg har gjort for enkeltnettsider, men som tydeligvis av en eller annen snodig grunn ikke var nok til å få løst det 100%.

    Kunne du sende meg kontaktinfo på pm til han som fiksa det for deg, Tonny?
     
  2. zapotek

    zapotek Medlem

    Innlegg:
    3.689
    Denne metoden ser i utgangspunktet genial ut. Når jeg tester dette med å sette inn en annen ip-adresse enn min egen, så blir jeg forhindret tilgang. Skifter jeg til min ip, så får jeg tilgang.

    MEN av en eller annen grunn stopper den ikke brute-force-forsøkene utenfra. Jeg får fortsatt like mange mailer fra Limit login attempts om mislykkende innloggingsforsøk (2-3 forsøk i minuttet siden søndag morgen på en side). Noen som har en ide om hvorfor dette skjer? Hvordan klarer de tydligvis å omgå wp-login.php?
     
  3. thomasstr

    thomasstr Medlem

    Innlegg:
    160
    Har du en log du kan vise til? Det er alltid interessant med logger. For her står det vanligvis hvordan angrepet ditt har tatt plass og hvilken feilmelding de har fått tilbake. Du kan se i error_log i public_html/ eller i apache-log i kontrollpanelet.

    Det finnes mange alternativ.
    En annen mulighet er å endre wp-login.php til noe annet (wp-logginn.php f.eks). Eller om du spør administrator om å legge til en ModSec-regel om servern bruker det. For å slippe høy belastning kan du enkelt opprette en tom wp-login.php. Da tar det ikke så altfor mye ressurser for serveren eller siden.
     
    zapotek liker dette.
  4. Travellingman

    Travellingman Nettgrunder

    Innlegg:
    2.109
    thomasstr liker dette.
  5. zapotek

    zapotek Medlem

    Innlegg:
    3.689
    Fant denne tråden på Wordpress.org, hvor omgåing av wp-login.php diskuteres (uten at jeg ble så mye klokere av den grunn): https://wordpress.org/support/topic/plugin-better-wp-security-bypass-to-login-hide-or-hide-backend

    "
    Let me restate this a little clearer.

    The wp-login hits I am seeing in my access_log ARE NOT taking advantage of the "wp-login.php?loggedout=true" loophole.

    The access is straight to ""wp-login.php" ... and the server is responding with a "200 all okay status code" NOT the "302 redirect to /notfound" that I see when I try and read the status code from "wp-login.php".
    "
     
  6. NilsF Medlem

    Innlegg:
    310
  7. knippsen

    knippsen Medlem

    Innlegg:
    423
    Som tidligere nevnt i tråden: Limit Login Attempts er genialt. Finnes flere ulike plugins.
     
  8. Rismoen Medlem

    Innlegg:
    925
    Hjelper bra lite når de bytter IP hvert sekund.
     
  9. zapotek

    zapotek Medlem

    Innlegg:
    3.689
    Det hjelper nok til at de ikke klarer å knekke passordet. Nedsiden er at alle forsøkene bruker båndbredde.
     
  10. Dostojevskij

    Dostojevskij Medlem

    Innlegg:
    234
    Hvorfor er WP mer utsatt enn cPanel?
     
  11. spikre

    spikre peterhamre.no

    Innlegg:
    1.308
    Fordi wordpress er stappa med plugins som også blir tilgjengelig for brukere som ikke er "innlogget". cPanel er låst for all aktivitet foruten ett skjema.
     
  12. Marius_J

    Marius_J Certified Ethical Hacker

    Innlegg:
    479
  13. xdex

    xdex Medlem

    Innlegg:
    1.555
    • Bruke minst mulig plugins (eksempel: egen plugin for å legge inn google analytics? neitakk)
    • Passe på at alt er oppdatert, og hold deg oppdatert på hva som skjer i WP miljøet.
    • Unngå brute-force attacks med IP blocking, re-capcha etc.
    • Ha riktige innstillinger i php.ini filen, og andre system/apache filer.
    • Forstå litt PHP og hva plugins gjør, før du installerer noe, koster deg noen få minutter, koster deg dager om noe skjer.
    • Flytt wp-config.php ut fra root
    • Gjør det vanskeligere for bot's/crawlere å finne deg, rename wp-admin etc, og endre RSS navn osv.
    • Bruk ett sikkert og langt passord, ikke stol på andre, de stoler uansett ikke på deg.
    Dersom uhellet er ute, skal det ikke være noen fare, for du har vel tatt BACKUP?!?!?
     

Del denne siden