Форум  |   Правила  |   Реклама  |   Статьи  |   Поиск  |   Регистрация  |   Вход

Брутят админки сайтов - как боретесь?
На страницу Пред.  1, 2
Новая тема Написать ответ
# Вс Dec 14, 2014 12:34 pmСergio Зарег.: 08.07.2013 ; Сообщ.: 1283Ответить с цитатой
Еще забыли про WP Security Scan. Основная задача - сканирование установленной версии системы и проверка ее на возможные прорехи в безопасности.
# Вт Dec 16, 2014 12:33 amTaburetkin Зарег.: 25.02.2007 ; Сообщ.: 1426Ответить с цитатой
все эти плагины на логин, перенос логина и прочее просто как мертвому припарка.
Никто в здравом уме не будет форсить вп логин, нахуя?
Легче пробить темы, плагины, установку на дырки и залить шелл - а там преспокойно посмотреть ваш ДБ конфиг файл.
И все - пароль в пхпадмин поменял и вперде!
# Вт Dec 16, 2014 12:59 amDrKronos Зарег.: 11.03.2008 ; Сообщ.: 13024Ответить с цитатой
Цитата:
Как боретесь с брутфорсерами?


https://wordpress.org/plugins/really-static/ Smile
# Вт Dec 16, 2014 2:43 amSkyworker Зарег.: 25.12.2013 ; Сообщ.: 11416Ответить с цитатой
Taburetkin писал(а):
все эти плагины на логин, перенос логина и прочее просто как мертвому припарка.
Никто в здравом уме не будет форсить вп логин, нахуя?

Вот именно, что брутом занимается только одна школота, настоящие взломщики ищут уязвимости движка, через них и ломают сайты. А такие уязвимости были, есть и будут в движке WP всегда.
# Вт Dec 16, 2014 1:41 pmblogmatic Зарег.: 10.08.2010 ; Сообщ.: 4775Ответить с цитатой
Цитата:
А такие уязвимости были, есть и будут в движке WP всегда.


Ничего удивительного, тем более если больше половины бесплатных шаблонов для wordpress зараженными хакерскими веб-шеллами и бэкдорами.
# Вт Dec 16, 2014 2:37 pmShkiff Зарег.: 09.03.2009 ; Сообщ.: 3227Ответить с цитатой
да не, просто ща бля по интеренту гуляют мануалы про брут и заработок по пирогам.

Е**л я того человека, который продавал курс по добыче и заработку на шеллах. Shout
# Ср Dec 17, 2014 7:01 amuniversite Зарег.: 07.08.2014 ; Сообщ.: 3Ответить с цитатой
Запуск скрипта на парсинг глобальных логов раз в полчаса и при пороге 3-10 захода с одного IP - в бан на сутки.
Белые списки тоже есть.
# Сб Dec 20, 2014 2:54 pmTomas-R Зарег.: 07.01.2008 ; Сообщ.: 5567Ответить с цитатой
я бы закрыл админку через .htpassw
# Вс Dec 21, 2014 12:35 pmceber Зарег.: 13.05.2010 ; Сообщ.: 4290Ответить с цитатой
Цитата:
Задолбали уже брутфорсеры, за неделю на одном сайте аж 218 попыток брута, причем, включен плагин, блокирующий IP после двух попыток подбора пароля и все равно продолжают брутить.

Yabuti, крупный сайт? Если он не представляет конкуренции, кому может понадобиться его брутить?
# Пн Dec 22, 2014 8:43 amnarolskay Зарег.: 11.06.2009 ; Сообщ.: 1038Ответить с цитатой
Ну а если крупный проект, то Skyworker дал хорошую идею про VPN.
# Пн Фев 16, 2015 12:41 pmmr2me Зарег.: 02.02.2015 ; Сообщ.: 159Ответить с цитатой
а может через iptables по string (по строке) блокировать "пакеты входящие" на linux vps содержащие в пакете название "wp-admin" , это для wordpress.
Цитата:
и залить шелл

даже ели зальют шелл, если iptables будет блочить все и вся на vps, то даже залитый шелл ничего не сможет сделать, будет вхолостую работать.
# Пн Фев 16, 2015 1:43 pmSAW Зарег.: 07.03.2008 ; Сообщ.: 1189Ответить с цитатой
у меня например LitePublisher а не WP. Тоже бесплатный и тоже как я понял с дырами... При чем папки админки там нет, адрес админки виртуальный. Спросил у разработчика где админка, тот не5 отвечает а лиш говорит что админка хорошо защищена. Как мне можно защетить админку? У меня толлько сплоги, их больше сотши, так что двойная авторизация не подойдет, так как заполняются они софтом, а софт не поддержует двойную авторизацию.
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ
 На страницу Пред.  1, 2
Любое использование материалов, размещенных на ArmadaBoard.com, без разрешения владельцев ArmadaBoard.com запрещено.