|
На страницу 1, 2 След. |
|
|
|
Всем привет!
Задолбали уже брутфорсеры, за неделю на одном сайте аж 218 попыток брута, причем, включен плагин, блокирующий IP после двух попыток подбора пароля и все равно продолжают брутить.
Еще что интересно - брутят логин не admin, а кастомный, откуда они его узнают?
Как боретесь с брутфорсерами?
Посоветуйте какой-нибудь плагин, а то нагрузку на хостинг создают.
Спасибо!  |
|
|
|
|
|
создай файл .htpasswd
затем пропиши через акцесс что запрещаешь, получается двоная авторизация, давно уже закрылся от такой хуеты |
|
|
|
|
|
| Цитата: |
| брутят логин не admin, а кастомный, откуда они его узнают?
|
Из статьи на ачате
| Цитата: |
1.) Так как Администраторы часто прячут админки (меняют admin.php на все что угодно)
Заходим в http://Google.ru в строке поиска пишем:
"Для входа в административную панель Вам необходимо ввести Ваше имя и пароль."
Выходит огромный список сайтов
Я обычно выбираю по Титлам DataLife Engine зачастую в титле вписано название сайта, это идет версия DLE 9.2> их ломать конечно также можно но более сложно потому я их пропускаю!
Все собранные сайты (имена доменов) проверяем тут http://www.pr-cy.ru/mass_stat тут мы увидим Тиц сайта.
2.) Этап второй - Узнаем ник админа
Обычно зачастую Новости добавляют сами админы но чаще всего это корреспонденты или просто пользователи потому идем вот по этой ссылки:
http://сайт/statistics.html
Тут уже и ищем в поле "Группа" статус "Администраторы"
Если statistics.html отсутствует то придется искать в новостях по авторам ( не корреспондента, а админа!)
3.) Ну что теперь мы знаем где админка и мы знаем логин самого администратора! Теперь осталось только запустить брутфорс!
|
|
|
|
|
|
|
Странник, не дописал в первом сообщении - CMS WordPress. Видимо, там аналогичный механизм поиска юзеров-админов.
А что можно сделать с брутом?
Я пару IP чекнул - вообще какие-то прокси, в блеках везде, где возможно. |
|
|
|
|
|
| Yabuti, как вариант еще можно переименовать wp-login или вовсе перенести, для этих целей плагин есть, но вот название не помню |
|
|
|
|
|
| Yabuti, если у тебя статичный IP-адрес, то можно разрешить доступ к директории «wp-admin» только с твоего айпишника. |
|
|
|
|
|
| DK писал(а): |
создай файл .htpasswd
затем пропиши через акцесс что запрещаешь, получается двоная авторизация, давно уже закрылся от такой хуеты
|
подробно! |
|
|
|
|
|
| shhef писал(а): |
| DK писал(а): |
создай файл .htpasswd
затем пропиши через акцесс что запрещаешь, получается двоная авторизация, давно уже закрылся от такой хуеты
|
подробно!
|
shhef вот здесь можешь глянуть |
|
|
|
|
|
| Спасибо всем! |
|
|
|
|
|
| Код: |
<Files wp-login.php>
order deny,allow
Deny from all
Allow from айпишечка
</Files>
<Files wp-login.php>
AuthType Basic
AuthName "Access Denied"
AuthUserFile /var/www/.../.../.../site.ru/.htpasswd
Require valid-user
</Files>
<Files .htpasswd>
deny from all
</Files>
|
юзайте в удовольствие
объебался - это тройная авторизация  |
|
|
|
|
|
| John Doe писал(а): |
|
Yabuti, если у тебя статичный IP-адрес, то можно разрешить доступ к директории «wp-admin» только с твоего айпишника.
|
Можно завести свои VPN под эти цели и разрешить доступ к файлу админа только с этого одного IP, если у вашего провайдера динамический IP. |
|
|
|
|
|
| зачем этот велосипед. все давно уже придумано, пользуем cloudflare |
|
|
|
|
|
adamant, Skyworker,  |
|
|
|
|
|
Полезные плагины, рекомендованные разработчиками платформы
BruteProtect
Limit Login Attempts
Lockdown WP Admin
WP Fail2Ban
Admin Renamed Extended
Enforce Strong Password
Wordfence Security
3WP Activity Monitor
All in one WP Security |
|
|
|
|
|
| а как насчет плагина Better WP Security, он защищает ресурс практически по всем направлениям |
|
|
|
|
|
|
