Egyik oldalam, tavaly szeptember óta:
Felőlem próbálkozhatnak, nincs admin user
Egyik oldalam, tavaly szeptember óta:
Felőlem próbálkozhatnak, nincs admin user
limit login nálam is segített ezen, én csak 1-2 napos kizárást tettem be...
Ami érdekes és kicsit meg is lepődtem, hogy egyszer a tényleges admin névvel próbálkoztak. Rendes "admin" user nincs, a neve legyen "xy". Észrevettem, hogy még az egyik legelső Page az ő nevéhez volt hozzárendelve, és így meg lehetett tekinteni az authort, gondolom ez alapján próbálkozhattak.
Persze most már azt az egy oldalt is hozzárendeltem egy másik userhez, és csináltam egy új admint.
Megtenni mindent meglehet, de ha nagyon akarnak valamit, idővel úgyis feltörik. Addig nem kell félni amíg csak robotok jönnek.
Szia, hol lehet beállítani a fail login logolást? Hogy lehet tíltani? esetleg ez egy külön plugin? A BPS-t felraktam már, de ilyet nem találtam benne.
Limit Login Attempts beállításai
IP logok mentése - ezt pipáld be
És ha történik valami ott lesz a kizárási napló a beállítások alatt
Mondjuk szerintem mahonenál valami más plugin figyelheti ezt mert nálam pl így néz ki:
IP Bejelentkezés mint
94.199.51.8 admin (2 kizárás)
szita (2013-04-17)
Login logger nevű plugint keress, abból van itt kicsit feljebb a screenshot.
teki (2013-04-17)
A mostani botnet-es támadással kapcsolatban fontos megjegyezni, hogy itt egy botnet, közel 90.000 gép végzi a próbálgatást, 90 000 különböző IP címről, így az azonos IP címről történő x sikertelen kisérlet utáni blokkolás nem célravezető jelen esetben. A másik, hogy a nagy számú próbálkozás miatt rengetegszer kerül meghívásra a wp-login.php, ami okán elindul a php értelmező, memóriát foglal, és pl. osztott tárhelyen, ahol esetleg több tucat megtámadott blog is van, könnyen DDoS hatást érhet el a számos feltörési kisérlet, ill. ott, ahol kisebb VPS-en fut a blog, szintén gondot okozhat a jelentősen megnövekedett számú PHP kérés kiszolgálása.
Praktikus dolog a wp-login.php, vagy akár az egész wp-admin könyvtár elérését korlátozni .htaccess-ből IP cím(ek)re vagy jelszóval védeni, így illetéktelenek nem is tufják futtatni a wp-login.php-t, ezzel jelentős terheléstöl szabadítható meg a szerver.
Konkrét példák a htaccess-re ill. egyéb hasznos tanácsok a védekezéshez, hasznos WP Pluginok, ötletek: Brute Force Attacks « WordPress Codex
x
Egyébként ez várható a jövőben, hogy a bejegyzések alapján vizsgált "author" nevek is célba lesznek véve. Szóval az admin nem-használta nem végső megoldás. Szerver oldalon kell gondolkodni, meg biztonsági mentéseket csinálni minél gyakrabban. Ha véletlenül fel is törik, legalább ne legyen értelme.
"Galaktikus logók, arculat, weboldalak a KKV-számára!"
stargeckos.com
Ha nem idiotak - marpedig aki egy ilyen botnetet kezel az feltetelezhetjuk, hogy nem idiota - akkor eszre sem fogod venni ha feltorte a blogodat. Esetleg csak akkor ha a tarhelyszolgaltato jelzi, hogy sok levelet kuldessz, vagy megnott a befele meno adatforgalmad, mert a te oldaladon keresztul ddos-olnak valakit.
If debugging is the process of removing software bugs, then programming must be the process of putting them in.
Ruby blog
Give a man a fish and you feed him for a day. Teach a man to fish and you feed him for a lifetime.
Respect all, fear none
A belépési név és a megjelenő név nálam egyik wp blogon sem azonos. Gondolom ez is lehet egy jó megoldás még.
A system administrator has 2 problems: - dumb users - smart users
Mondjuk én elképzelni sem tudom a gyakorlatban, ez hogyan működik. Olvastam, hogy pár hónapja iszonyatosan nagy hálózatokat kapcsoltak le, és meglepően fejlett kódokkal voltak megírva. Pl szimulálták az emberi viselkedést és úgy "kattintgattak" mindenféle hirdetésekre. Szerintem ezek nem egy emberes dolgok és mivel dollár milliókról van szó, ezért én is azt gondolom, hogy olyan emberek foglalkoznak ezzel, akik egyébként is megélnének a programozási tudásukból. Viszont egy ilyen óriási hálózatot csak statisztikai alapon lehet működtetni. Szerintem, ha okosabbak vagyunk mint az átlag és picit jobban odafigyelünk a biztonságra, akkor nem lesz nagy baj.
Könyvjelzők